・网络与电子商务/政务・ 农业网络信息 2011年第2期 AGR U 兀ⅡUr NE1WORK/NFORMA刀-0Ⅳ 探析网络安全保护 林荔 (福建省气象信息中心,福州350001) 摘要:除了依靠网络安全的核心技术,为了保护网络安全还应该综合考虑网络安全的实现技术、支持系统和非技术方 面。网络安全体系结构是多方面、多层次的系统,只有全局性地部署才能确保整体网络的安全。 关键词:网络;安全;管理 中图分类号:TP393 文献标识码:A 文章编码:1672—6251(2011)02~0077—03 Protection of Network Security LIN Li (Fujian Meteorological Information Center,Fuzhou 350001) Abstract:The protection of network security was depended on the core technology of network security,as well as the implementation technology,suppo ̄systems and non—technical aspects.Network security architecture is a muhifaceted,multi—level system,and only by the overall deployment,overall network security could be ensured. Key words:network;security;management 近年来,计算机网络在气象领域的应用不断向深 2网络安全的核心技术 度和广度发展。网络在带来巨大便利的同时,也带来 常见的安全技术主要包括虚拟网、病毒防范、防 了一些不容忽视的问题,网络安全威胁就是其中之 火墙、网闸、VPN、安全漏洞扫描、安全评估分析、 一o 网管软件、入侵检测、备份和恢复等。在网络安全体 1 网络安全威胁的基本表现 系中各种安全技术要合理部署、互联互动,从而形成 (1)通信协议的弱点。TCP/IP协议是面向封闭专 一个有机的整体。 用的网络环境设计的。 3网络安全实现技术 (2)操作系统的漏洞。在服务器上,各个版本的 3.1安全区域的划分 操作系统都存在漏洞。 划分安全区域的方法主要有两种,一种是以功能 (3)应用程序系统的漏洞。与操作系统类似,应 和物理区域为基准提供保护.称为区域功能型安全区 用程序的设计过程也会产生很多由于人的局限性所导 域划分;另一种是以服务层次为基准提供保护。称为 致的缺陷或漏洞。 层次性安全区域划分。 (4)网络系统设计的漏洞。由于网络系统的设计 随着信息技术的不断发展,网络安全问题也会不 错误会产生大量漏洞。 断出现,因此,安全区域的划分也应该不断改进和完 (5)恶意的攻击。 善。应根据实际业务更细致地划分出多个安全区域, (6)管理不当。管理制度的不到位和技术手段的 而且安全等级也应该有所不同。不少网络维护人员都 不当使用等都可能带来严重的安全隐患。 用笔记本通过WLAN上网。WLAN由于自身特征的原 总之.随着环境的变化和技术的发展,网络安全 因存在很大的安全隐患:它把包含网络信息流量的无 威胁的形式和手段也在不断变化,因此网络安全方案 线电信号发送出去,在信号范嗣内的任何人都可以查 要从网络系统业务出发、以管理和监控作为核心手 看或者破坏这些信号。因此,无限网络应放在一个分 段、以网络安全技术为重要的补充。 开的区域中。 作者简介:林荔(1970一),女,本科,高级工程师,研究方向:系统维护。 收稿日期:2011-01一l0 《农业网络信 g))2011年第2期 网络与电子商务/政务 3.2传输系统的安全防卫 传输系统是所有网络的基础,分为有线传输和无 线传输两大类。比较而言,有线传输系统比较封闭, 4-3病毒、木马对抗系统 (1)创建备份。在网络遭受攻击时。备份能在最 短的时间内恢复系统数据。 无线传输系统比较开放。有线传输分为电缆传输和光 缆传输两大类。从现实技术角度来看,侵入电缆传输 系统比较容易,入侵光缆传输系统比较困难。无线传 输是按频段分类。从现实技术角度来看,频段越高无 线传输系统越难实现,传输的安全性相对较高。 从传输安全角度考虑,应当尽量采用光缆传输系 (2)阻止入侵。为阻止人侵,可采取以下措施: 不与其他无关计算机连接,不允许无关人员使用计算 机,不运行任何可疑文件,关闭远程登录服务等。 (3)严格访问控制。要在网络的所有关键设备之 间采用基于组合公共密钥的标准认证。不与不安全的 物理设备建立连接,不传递不符合约定的信号。 (4)及时更新补丁。经常关注微软发布的最新漏 洞,及时选择补丁程序。 统,并在有线传输系统中配置切人检测定位系统。尽 可能避免使用无线传输系统,采用无线传输系统必须 配置标识认证 3.3通信设施的安全防卫 (5)安装杀毒、反木马软件。及时升级杀毒软件 和反木马软件,以保障系统安全。 正确设置防火墙、路由器、交换机、IDS有助于 网络的安全运行。对于工作站、服务器、移动设备, 4.4网络安全的评审与检测 定期对网络系统进行安全性评价和分析,及时发 现存在的漏洞,并采取相应的补救措施和安全策略, 达到增强网络安全性的目的。 应加密通信并用安全性高的密码进行保护。 3.4基础结构的安全防卫 基础结构的安全防卫主要是实现系统的硬化.包 5安全管理中心 随着网络建设的深入,逐步部署防火墙、防病毒 软件、IDS、网闸等安全产品,并配置相应的安全策 括0S硬化、NOS硬化和应用程序硬化。 (1)OS硬化。通过修改OS设置来硬化系统,从 而达到访问控制的目的 略。但是系统整体缺乏统一管理.各个应用系统之间 缺乏有效的联系,信息无法有效整合,各应用系统难 j (2)网络硬 匕O基于路由器、交换机等网络设 备, 通过取消不必要的协议和服务来降低受攻击的可 能性。正确定义和放置ACL,与特定设备的修补程 序、补丁和固件更新保持同步,以维持较高的可用性 和安全性 以发挥其应有的价值。 一一 。 另外,防病毒软件和防火墙都有各自的管理系 统,不同的系统有着不同的网络管理软件。因此,网 络管理人员要对不同的管理系统信息进行检查。这些 来自不同安全产品的信息之间存在很大的相关性,如 果分开独立地处理这些信息,很有可能会忽略掉一些 重要的细节或关键因素.致使网络遭受重大的安全威 胁。 (3)应用程序硬化。对于浏览器、办公套件、电 子邮件系统以及Web服务器、电子邮件服务器、FTP 服务器、DNS服务器和DHCP服务器等要按照最佳方 案硬化应用程序,尤其要注意对数据存储库的访问。 4网络安全支持系统 4.1信源定位系统 攻击发生时,不同的应用系统会发出各自的警告 信息,由于缺乏关联性,同一攻击就会引起大量的安 信源定位系统能够记录用户的通信行为.对网络 事件进行历史回放,从而在安全管理上做到有据可 查。当网络遭受攻击时,信源定位系统可以快速、准 确地追踪到攻击源,对网络攻击者起到打击的作用。 全信息,网络管理人员无法针对事件做出及时的响 应,通常会错过了最佳的处理时机。所以,成立安全 管理中心是确保网络安全的关键。安全管理中心的功 能包括配置管理、事件监控管理、分析管理以及响应 管理等。 4.2流量分布监控系统 对互联网造成重大影响的异常流量主要包括拒绝 服务攻击、分布式拒绝服务攻击、网络蠕虫病毒流量 5.1配置管理 配置管理主要实现对安全产品的安全策略的定 义、部署安全配置以及检查配置是否符合安全策略。 网络安全设备种类繁多,每种设备都有自己的配 和其他异常流量f如一些网络扫描工具产生的大量 TCP连接请求)。利用流量分布监控系统可以实时监视 网络中信号流量的分布,必要时可以实施网络安全控 制。 置方法和命令,网络管理人员要熟悉每个网络安全设 备的配置步骤和命令是有一定难度的。而利用网络安 《农业网络信息》2【)l1年第2期 网络与电子商务/政务 全管理配置软件就可以大大减轻网络管理员的工作 调整网络安全的管理策略。 量,提高工作效率 (2)加强网络技术培训。网络管理人员必须不断 5-2监控管理 学习新的网络知识,掌握新的网络产品的功能,了解 监控管理可实现对网络安全产品的查看、校对以 网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服 及安全状况的报告,提供可视化的安全威胁信息,帮 务、端口攻击等新的攻击手段,才能更好地管理好网 助网络管理员快速有效地监控网络的使用情况。 络。 5-3分析管理 (3)加强用户的安全意识。网络安全最大的威胁 分析管理可将离散的数据翻译成可检测的信息, 是用户对网络安全知识的缺乏。因此必须加强用户的 并显示推荐的排除安全威胁的配置信息。 安全意识,引导用户自觉安装防病毒软件、及时更新 5.4响应恢复管理 补丁。 安全管理的最高形式是实现对安全风险的实时响 7结束语 腹管理.即基于获取的海量安全事件分析整个系统的 网络安全是一个系统、全局的管理问题,任何一 安全状态和安全趋势,对危害安全事件及时做出响 个漏洞都会导致仝网的安全事故。安全问题不能只依 应 响应管理的主要目标包括关联各种事件、准确定 靠一系列的网络安全设备来解决,必须把安全建设融 位安全事 :,网络感知确定攻击源头、描绘攻击路 入到基础网络平台建设过程巾。一个完善且能够严格 径.自动产生排除安全风险所需的操作步骤以及和其 执行的安全管理策略才是安全的核心。计算机网络安 他部署系统协同作业。 全应遵循整体安全性原则,根据规定的安全策略制定 6网络安全防卫非技术方面 出合理的网络安全体系结构,这样才能真正做到整个 安全管理主要是对安全技术和安全策略的管理。 系统的安全。 用户的安全意识是信息系统是否安全的决定性因素, 除了在网络中心部署优化合理的网络结构和功能强大 参考文献 的安全工具外,还应从制度上加强网络安全管理。 [1】孙玉.电信网络安全总体防卫讨论[M】.北京:人民邮电出版社, (1)建立严格的管理制度。制订网络建设方案、 2o08. 机房管理制度、安全保密规定、口令管理制度、网络 [2】贾军保.网络安全保护[M].北京:科学出版社,2009. 安全指南、用户上网使用手册、系统操作规程、应急 [3】思科网络技术公司.下一代网络安全[M】.北京:北京邮电大学出 响应方案、安全防护记录等一系列制度,保证网络的 版社.2006. 核心部门安全。要随着网络安全技术的不断发展及时 .--——79・--——