基于多层防护的某监狱管理局网络安全解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一个网络的安全体系主要应从安全对象和安 全机制两个方面来考虑.安全对象主要有网络安 全、系统安全、数据库安全、信息安全、设备安全、信 息介质安全及计算机病毒防治等.其安全体系结构 如图1所示。
图1
2.2方案设计 在进行网络安全设计、规划时,应遵循如下原
则: 水需求、风险、代价平衡分析原则, 丰综合性、整体性原则, 术一致性原则. 术易操作性原则. 木适应性、灵活性原则, 木多重保护原则。 结合本安全系统的特点.确定使用“多层防护
参考文献(3条) 1.许治坤 网络渗透技术 2005 2.徐超文;柯宗贵 计算机网络安全实用技术 2005 3.王瑞详 系统防护与反入侵 2003
本文链接:http://d.g.wanfangdata.com.cn/Periodical_kxjsygc200616036.aspx
网络安全解决方案”。 第一层也就是最外层.主要是防止外部网络的
非法用户的恶意攻击.这一层主要是在中心控制室 与外部inteITlet之间部署功能较强的防火墙。防火墙 能跟踪流经它的所有通信信息,能够访问、分析和
利用通信信息、通信状态、应用状态,并做信息处理 (基于以上所有元素的灵活的表达式的估算)。能根 据系统管理员设定的安全规则提供访问控制、身份 认证、网络地址转换、信息过滤、虚拟专网(VPN)、流 量控制等。可见防火墙可以为内部网络提供强大的 保护作用。抵御来自外部网络的攻击、防止不法分 子的入侵。
[Key words]net security
firewall
detection system
solving project
万方数据
基于多层防护的某监狱管理局网络安全解决方案
作者: 作者单位: 刊名:
英文刊名: 年,卷(期):
徐署华, XU Shuhua 湖南科技职业学院,长沙,410118
科学技术与工程 SCIENCE TECHNOLOGY AND ENGINEERING 2006,6(16)
第6卷第16期2005年8月 1671—1815(2006)16—2568-03
科学技术与工程
Science Technology and Engineering
V01.6 No.16 Aug.2006 ⑥ 2006 Sci.Tech.Engng.
基于多层防护的某监狱管理局网络安全解决方案
徐署华
(湖南科技职业学院,长沙410118)
内部网络的安全涉及技术、应用以及管理等多 个方面,且可能由内部人员引起.所以给发现、监 控、处理安全问题带来了更大的麻烦。内部网络是 一个多应用的平台.上面运行着多种应用,其中包 括网站系统、办公自动化系统、邮件系统、数据库系 统等。不同的应用由不同的部门来使用.就可能由 某些个人恶意行为给网络带来威胁:也可能由于人 手有限.某些工作人员经常身兼数职,违反安全系 统原则.给网络安全构成严重威胁:来自内部网络 的病毒也会对整个网络系统构成安全隐患。因此, 网络中心应能及时发现问题.确定安全威胁的来 源.及时准确地采取应对措施来杜绝威胁的发生。
本安全系统使用基于多层防护的网络安全解 决方案后.形成的整个系统示意图如图3。
3结束语
使用基于多层防护的网络安全解决方案可以
图3多层防护示意图
很好地对内部网络进行保护。防火墙相当于一个把 门的门卫.对于所有进入大门的人员进行审核:只 有符合安全要求的人.就是那些有入门许可证的人 才可以进、出大门:但是对于那些本身就在大门内 部的.以及那些具备入门证的、以合法身份进入了 大门的人.是否做坏事就无法监控.这时候就需要 依靠入侵检测系统来进行审计和控制。
摘要企事业单位内部网络面临着外部、内部的安全威胁,严重时会给网络系统带来不可估量的灾害。就某监狱管理局使用 的网络安全解决方案来说明基于多层防护的网络安全解决方案的设计及使用。 关键词 网络安全防火墙检测系统解决方案 中图法分类号TP393.08: 文献标识码B
随着网络技术的快速发展.其应用已相当普 及。各种企业、政府机构、学校等都成了网络用户, 他们都有自己的内部网络来进行企业内部业务的 处理.同时内部网还连接internet,通过internet来与 其他intemet用户进行业务往来、共享internet上的海 wenku.baidu.com资源。网络在带来财富和希望的同时也提出了一
个不可避免的问题——安全问题。网站被攻击、数
据被篡改、资料被盗等时时在发生。应用一套有效 的安全解决方案是所有企业用户急切要做的工作。 本文就某省监狱管理局的基于多层防护的网络安 全解决方案来探讨企业用户可行的网络安全解决 方案。
1监狱管理局网络系统的安全威胁分析
管理局有一个内部局域网,连接局内各个部 门、车间,各部分进行各自的业务处理。有一中心机 房.部署有中心服务器及数据库服务器。有些部门 通过intemet和上下级及各监狱进行业务往来。对当 前这个网络系统可能产生的安全威胁分析如下。 1.1来自外部网络的安全威胁
徐署华:基于多层防护的某监狱管理局网络安全解决方案
对整个网络起到全面的保护作用。当然,没有绝对 安全的网络.少数行为会穿过防火墙最终产生攻 击.一旦发现有攻击行为.安全系统应该能及时报 警,自动采取相应的对策,如关闭服务、切断物理线 路的连接等来把损害降到最低。
本安全系统既要考虑保护边界安全以防止来 自外部网络的威胁.又要考虑监视内部网络以防止 内部安全威胁。 2.1安全体系结构
入侵检测系统通常包括入侵检测、报警、响应 和防范等子系统。入侵检测子系统采用入侵检测分 析技术,检测违反网络安全策略的入侵攻击事件、 误用及滥用事件。一旦检测到就实时向控制台传送 报警信息和事件过程记录.控制台接收到报警后。 可根据入侵信息进行实时响应.如根据管理员预先 定义的响应策略切断与攻击者的网络连接等。其检 测响应示意图如图2。
intranet.The design and use of net security solving project based on muhilayer defense by a net security solving
project of a prison bureau is explained.
XU Shuhua (Sci—technic Proffersor School of Hu7nail,Changsha 410118)
[Abstract] Intranet faces the inside and outer security threatens.It even brings imponderable disaster to
万方数据
络破坏的主要方式有:外部网络的非法用户(黑客) 的恶意攻击、窃取信息;通过网络传送病毒及夹带 病毒的电子邮件:来自Web浏览可能存在的恶意 Java/ActiveX控件等。 1.2来自内部网络的安全威胁
中心机房能通过专线直接与各部门及车间控 制室相连.这样来自内部网络的安全威胁也成为网 络安全的一个重要部分。
参 考文 献
1 王瑞详.系统防护与反入侵.北京:机械工业出版社。2003 2徐超文.柯宗贵.计算机网络安全实用技术.北京:电子工业出版
社.2005 3许治坤,等.网络渗透技术.北京:电子工业出版社,2005
Solving Project of Net Security for Prison Bureau Based on Multilayer Defence
第四层是在各节点主机上安装防病毒软件。防 病毒软件可对已知和未知的病毒进行防治.对桌面
万方数据
2570
科学技术 与工程
6卷
图2检测响应示意图
计算机和文件服务器的全面防毒保护.并可协助企 业建立多层次防毒以保护其资源.可进行自动化电 子邮件防毒及内容过滤:并可对有毒或可疑的电子 邮件实施隔离.从而可以确保企业的邮件系统的高 度安全。使用防病毒软件可以在网络的各个节点上 进行病毒监控.一旦发现某个节点有病毒侵害.可 以把损害控制在最小的范围内而不向整个网络扩 散。
内部网络和internet进行直接连接.外部网络用 户可以直接访问内部网络的主机.由于内部与外部 没有实行隔离措施.内部系统很容易遭到攻击。一 旦发生攻击.将导致局里重要数据资料等的破坏及 泄密.严重时可使整个系统处于瘫痪状态。外部网
2006年4月18日收到 作者简介:徐署华,E—mail:gtsgsxsh@tom.tom。
2网络安全系统总体规划
针对如此多的安全问题.网络系统本身往往无 能力应付。主要是由于操作系统日志不健全、对于 某些欺骗行为不能识别、对于日志文件记录内容无 法进行有效的分析、缺乏对攻击现场回放工具、缺 乏防御同样攻击的解决办法。所以对网络系统应制 定完善的安全和管理策略.安全策略一旦建立,会
16期
第三层是在中心机房与各部门或车间等内部 子网之间部署子防火墙。防火墙是网络安全的关口 设备.只有在关键网络流量通过防火墙的时候,防 火墙才能对此实行检查、防护等功能。因此,在网络 拓扑上.防火墙应当处在网络的出口处和不同安全 等级区域的结合点处。这些位置通常位于:企业内 部网出口链路处:主干交换机至服务器区域工作组 交换机的骨干链路上:办公内部网与高安全等级的 企业涉密网的连接点:远程拨号服务器与企业骨干 交换机或路由器之间。
第二层是在中心机房部署入侵检测系统。光有 防火墙还是不够的.一是由于防火墙也不是万能 的.有些非法访问可能会通过防火墙来访问内部网 络:二是防火墙只对外来访问进行监控。不能对内 部网络的行为进行控制。入侵检测系统是基于规则 的、实时的、集中管理的主机监测系统,它可以在网 络边界和网络内部检查和响应来自外界的攻击和 可疑行为。从功能上看。它可以探测出潜在的危 险——包括审计日志外不正常的“印迹”.并且根据 安全管理员设定的规则.还可以对这些“印迹”进行 分类并作出相应的反击响应。入侵检测系统可以认 为是防火墙之后的第二道安全闸门.对网络进行全 面监测,从而提供对内部攻击、外部攻击和误操作 的实时保护。
图1
2.2方案设计 在进行网络安全设计、规划时,应遵循如下原
则: 水需求、风险、代价平衡分析原则, 丰综合性、整体性原则, 术一致性原则. 术易操作性原则. 木适应性、灵活性原则, 木多重保护原则。 结合本安全系统的特点.确定使用“多层防护
参考文献(3条) 1.许治坤 网络渗透技术 2005 2.徐超文;柯宗贵 计算机网络安全实用技术 2005 3.王瑞详 系统防护与反入侵 2003
本文链接:http://d.g.wanfangdata.com.cn/Periodical_kxjsygc200616036.aspx
网络安全解决方案”。 第一层也就是最外层.主要是防止外部网络的
非法用户的恶意攻击.这一层主要是在中心控制室 与外部inteITlet之间部署功能较强的防火墙。防火墙 能跟踪流经它的所有通信信息,能够访问、分析和
利用通信信息、通信状态、应用状态,并做信息处理 (基于以上所有元素的灵活的表达式的估算)。能根 据系统管理员设定的安全规则提供访问控制、身份 认证、网络地址转换、信息过滤、虚拟专网(VPN)、流 量控制等。可见防火墙可以为内部网络提供强大的 保护作用。抵御来自外部网络的攻击、防止不法分 子的入侵。
[Key words]net security
firewall
detection system
solving project
万方数据
基于多层防护的某监狱管理局网络安全解决方案
作者: 作者单位: 刊名:
英文刊名: 年,卷(期):
徐署华, XU Shuhua 湖南科技职业学院,长沙,410118
科学技术与工程 SCIENCE TECHNOLOGY AND ENGINEERING 2006,6(16)
第6卷第16期2005年8月 1671—1815(2006)16—2568-03
科学技术与工程
Science Technology and Engineering
V01.6 No.16 Aug.2006 ⑥ 2006 Sci.Tech.Engng.
基于多层防护的某监狱管理局网络安全解决方案
徐署华
(湖南科技职业学院,长沙410118)
内部网络的安全涉及技术、应用以及管理等多 个方面,且可能由内部人员引起.所以给发现、监 控、处理安全问题带来了更大的麻烦。内部网络是 一个多应用的平台.上面运行着多种应用,其中包 括网站系统、办公自动化系统、邮件系统、数据库系 统等。不同的应用由不同的部门来使用.就可能由 某些个人恶意行为给网络带来威胁:也可能由于人 手有限.某些工作人员经常身兼数职,违反安全系 统原则.给网络安全构成严重威胁:来自内部网络 的病毒也会对整个网络系统构成安全隐患。因此, 网络中心应能及时发现问题.确定安全威胁的来 源.及时准确地采取应对措施来杜绝威胁的发生。
本安全系统使用基于多层防护的网络安全解 决方案后.形成的整个系统示意图如图3。
3结束语
使用基于多层防护的网络安全解决方案可以
图3多层防护示意图
很好地对内部网络进行保护。防火墙相当于一个把 门的门卫.对于所有进入大门的人员进行审核:只 有符合安全要求的人.就是那些有入门许可证的人 才可以进、出大门:但是对于那些本身就在大门内 部的.以及那些具备入门证的、以合法身份进入了 大门的人.是否做坏事就无法监控.这时候就需要 依靠入侵检测系统来进行审计和控制。
摘要企事业单位内部网络面临着外部、内部的安全威胁,严重时会给网络系统带来不可估量的灾害。就某监狱管理局使用 的网络安全解决方案来说明基于多层防护的网络安全解决方案的设计及使用。 关键词 网络安全防火墙检测系统解决方案 中图法分类号TP393.08: 文献标识码B
随着网络技术的快速发展.其应用已相当普 及。各种企业、政府机构、学校等都成了网络用户, 他们都有自己的内部网络来进行企业内部业务的 处理.同时内部网还连接internet,通过internet来与 其他intemet用户进行业务往来、共享internet上的海 wenku.baidu.com资源。网络在带来财富和希望的同时也提出了一
个不可避免的问题——安全问题。网站被攻击、数
据被篡改、资料被盗等时时在发生。应用一套有效 的安全解决方案是所有企业用户急切要做的工作。 本文就某省监狱管理局的基于多层防护的网络安 全解决方案来探讨企业用户可行的网络安全解决 方案。
1监狱管理局网络系统的安全威胁分析
管理局有一个内部局域网,连接局内各个部 门、车间,各部分进行各自的业务处理。有一中心机 房.部署有中心服务器及数据库服务器。有些部门 通过intemet和上下级及各监狱进行业务往来。对当 前这个网络系统可能产生的安全威胁分析如下。 1.1来自外部网络的安全威胁
徐署华:基于多层防护的某监狱管理局网络安全解决方案
对整个网络起到全面的保护作用。当然,没有绝对 安全的网络.少数行为会穿过防火墙最终产生攻 击.一旦发现有攻击行为.安全系统应该能及时报 警,自动采取相应的对策,如关闭服务、切断物理线 路的连接等来把损害降到最低。
本安全系统既要考虑保护边界安全以防止来 自外部网络的威胁.又要考虑监视内部网络以防止 内部安全威胁。 2.1安全体系结构
入侵检测系统通常包括入侵检测、报警、响应 和防范等子系统。入侵检测子系统采用入侵检测分 析技术,检测违反网络安全策略的入侵攻击事件、 误用及滥用事件。一旦检测到就实时向控制台传送 报警信息和事件过程记录.控制台接收到报警后。 可根据入侵信息进行实时响应.如根据管理员预先 定义的响应策略切断与攻击者的网络连接等。其检 测响应示意图如图2。
intranet.The design and use of net security solving project based on muhilayer defense by a net security solving
project of a prison bureau is explained.
XU Shuhua (Sci—technic Proffersor School of Hu7nail,Changsha 410118)
[Abstract] Intranet faces the inside and outer security threatens.It even brings imponderable disaster to
万方数据
络破坏的主要方式有:外部网络的非法用户(黑客) 的恶意攻击、窃取信息;通过网络传送病毒及夹带 病毒的电子邮件:来自Web浏览可能存在的恶意 Java/ActiveX控件等。 1.2来自内部网络的安全威胁
中心机房能通过专线直接与各部门及车间控 制室相连.这样来自内部网络的安全威胁也成为网 络安全的一个重要部分。
参 考文 献
1 王瑞详.系统防护与反入侵.北京:机械工业出版社。2003 2徐超文.柯宗贵.计算机网络安全实用技术.北京:电子工业出版
社.2005 3许治坤,等.网络渗透技术.北京:电子工业出版社,2005
Solving Project of Net Security for Prison Bureau Based on Multilayer Defence
第四层是在各节点主机上安装防病毒软件。防 病毒软件可对已知和未知的病毒进行防治.对桌面
万方数据
2570
科学技术 与工程
6卷
图2检测响应示意图
计算机和文件服务器的全面防毒保护.并可协助企 业建立多层次防毒以保护其资源.可进行自动化电 子邮件防毒及内容过滤:并可对有毒或可疑的电子 邮件实施隔离.从而可以确保企业的邮件系统的高 度安全。使用防病毒软件可以在网络的各个节点上 进行病毒监控.一旦发现某个节点有病毒侵害.可 以把损害控制在最小的范围内而不向整个网络扩 散。
内部网络和internet进行直接连接.外部网络用 户可以直接访问内部网络的主机.由于内部与外部 没有实行隔离措施.内部系统很容易遭到攻击。一 旦发生攻击.将导致局里重要数据资料等的破坏及 泄密.严重时可使整个系统处于瘫痪状态。外部网
2006年4月18日收到 作者简介:徐署华,E—mail:gtsgsxsh@tom.tom。
2网络安全系统总体规划
针对如此多的安全问题.网络系统本身往往无 能力应付。主要是由于操作系统日志不健全、对于 某些欺骗行为不能识别、对于日志文件记录内容无 法进行有效的分析、缺乏对攻击现场回放工具、缺 乏防御同样攻击的解决办法。所以对网络系统应制 定完善的安全和管理策略.安全策略一旦建立,会
16期
第三层是在中心机房与各部门或车间等内部 子网之间部署子防火墙。防火墙是网络安全的关口 设备.只有在关键网络流量通过防火墙的时候,防 火墙才能对此实行检查、防护等功能。因此,在网络 拓扑上.防火墙应当处在网络的出口处和不同安全 等级区域的结合点处。这些位置通常位于:企业内 部网出口链路处:主干交换机至服务器区域工作组 交换机的骨干链路上:办公内部网与高安全等级的 企业涉密网的连接点:远程拨号服务器与企业骨干 交换机或路由器之间。
第二层是在中心机房部署入侵检测系统。光有 防火墙还是不够的.一是由于防火墙也不是万能 的.有些非法访问可能会通过防火墙来访问内部网 络:二是防火墙只对外来访问进行监控。不能对内 部网络的行为进行控制。入侵检测系统是基于规则 的、实时的、集中管理的主机监测系统,它可以在网 络边界和网络内部检查和响应来自外界的攻击和 可疑行为。从功能上看。它可以探测出潜在的危 险——包括审计日志外不正常的“印迹”.并且根据 安全管理员设定的规则.还可以对这些“印迹”进行 分类并作出相应的反击响应。入侵检测系统可以认 为是防火墙之后的第二道安全闸门.对网络进行全 面监测,从而提供对内部攻击、外部攻击和误操作 的实时保护。