辦公網(wǎng)絡(luò)安全體系構(gòu)建分析,計(jì)算機(jī)網(wǎng)絡(luò)論文

辦公網(wǎng)絡(luò)安全體系構(gòu)建分析,計(jì)算機(jī)網(wǎng)絡(luò)論文摘要：網(wǎng)絡(luò)與人們的生產(chǎn)、生活息息相關(guān),以互聯(lián)網(wǎng)為代表的網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展,能夠講網(wǎng)絡(luò)改變了全球的經(jīng)濟(jì)格局、利益格局。的十八大以來,高度重視網(wǎng)絡(luò)安全問題,并把網(wǎng)絡(luò)安全當(dāng)成國家安全體系的重要組成部分。在網(wǎng)絡(luò)安全架構(gòu)的詳細(xì)應(yīng)用中,網(wǎng)絡(luò)體系構(gòu)造、相關(guān)硬件組成、安全軟件實(shí)現(xiàn)的功能、作用,是決定網(wǎng)絡(luò)使用安全的基礎(chǔ),網(wǎng)絡(luò)安全是一項(xiàng)整體的系統(tǒng)工程,網(wǎng)絡(luò)安全的解決方案應(yīng)當(dāng)是全面的、立體的整體解決方案。從網(wǎng)絡(luò)安全基礎(chǔ)、網(wǎng)絡(luò)安全初步防備等層面概述了網(wǎng)絡(luò)安全的一般架構(gòu),使我們對網(wǎng)絡(luò)安全威脅有所了解,在生產(chǎn)生活中能夠積極防備網(wǎng)絡(luò)安全風(fēng)險(xiǎn),進(jìn)而安全、有效地使用網(wǎng)絡(luò),共同維護(hù)網(wǎng)絡(luò)安全。本文關(guān)鍵詞語：網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全架構(gòu);安全防護(hù);1網(wǎng)絡(luò)安全及網(wǎng)絡(luò)安全防御1.1網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全(networksecurity)是指利用網(wǎng)絡(luò)技術(shù)、管理和控制等措施,保證網(wǎng)絡(luò)系統(tǒng)和信息的保密性、完好性、可用性、可控性和審查性。網(wǎng)絡(luò)安全包括兩個(gè)方面,一個(gè)是網(wǎng)絡(luò)系統(tǒng)的安全,另一個(gè)是網(wǎng)絡(luò)信息(數(shù)據(jù))的安全。網(wǎng)絡(luò)安全和信息安全是相輔相成、密不可分的,信息安全有三個(gè)基本屬性,機(jī)密性、完好性和可用性。網(wǎng)絡(luò)安全構(gòu)建的最終目的和關(guān)鍵就是保衛(wèi)網(wǎng)絡(luò)信息的安全。1.2網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅早已遠(yuǎn)遠(yuǎn)超過個(gè)人單機(jī)安全問題,以大型服務(wù)器為核心的網(wǎng)絡(luò)系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅已經(jīng)成為我們所面臨的嚴(yán)峻事實(shí)。攻擊者對網(wǎng)站、網(wǎng)頁、路由器有很多攻擊手段,例如:惡意軟件(病毒)、網(wǎng)絡(luò)嗅探、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚、ARP攻擊,這些攻擊手段需要把握相當(dāng)多的計(jì)算機(jī)應(yīng)用知識,由于WEB網(wǎng)站應(yīng)用廣泛,容易被攻擊,所以這里主要闡述下WEB攻擊。常見的WEB攻擊有下面幾類。(1)SQL注入,就是通過把SQL命令插入到WEB表單遞交,以到達(dá)欺騙服務(wù)器執(zhí)行惡意的SQL命令,網(wǎng)站被拖庫就是通過WEB表單遞交查詢字符實(shí)現(xiàn)的。當(dāng)前,主流SQL注入工具是Pangolin,它能通過一系列的簡單操作,到達(dá)最大化的攻擊效果。(2)跨站腳本攻擊,攻擊者在網(wǎng)頁上發(fā)布包括攻擊性代碼的數(shù)據(jù),當(dāng)閱讀者看到這個(gè)網(wǎng)頁時(shí),特定的腳本就會(huì)以閱讀者的身份和權(quán)限來執(zhí)行?？缯灸_本攻擊能夠容易地修改用戶數(shù)據(jù),竊取用戶個(gè)人信息。(3)cookie攻擊,在地址欄輸入:javascript:alert(document.cookie)。立即就能夠看到當(dāng)下站點(diǎn)的cookie,攻擊者能夠利用這個(gè)特性竊取你的信息,假如和跨站腳本攻擊相結(jié)合,在閱讀器上執(zhí)行javascript腳本。假如這個(gè)網(wǎng)站依靠cookie來驗(yàn)證用戶身份,那么攻擊人就能夠冒用用戶身份做一些事情。1.3網(wǎng)絡(luò)安全基礎(chǔ)技術(shù)網(wǎng)絡(luò)安全通用基礎(chǔ)技術(shù)主要有下面3類。(1)身份鑒別。身份鑒別是登陸計(jì)算機(jī)系統(tǒng)和網(wǎng)站時(shí)的第一道安全防線,只要被計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器鑒別后才被以為是合法的用戶。當(dāng)前主要身份鑒別方式方法有:靜態(tài)口令認(rèn)證;動(dòng)態(tài)短信口令認(rèn)證;USBKEY密鑰算法認(rèn)證;生物辨別技術(shù)認(rèn)證,即人臉辨別技術(shù)認(rèn)證。當(dāng)前多數(shù)身份認(rèn)證在大型網(wǎng)站和企業(yè)網(wǎng)站中采用的一項(xiàng)重要技術(shù)就是數(shù)字證書認(rèn)證。數(shù)字證書具有唯一性和可靠性,利用一對相互匹配的密鑰進(jìn)行加密解密。每個(gè)用戶有自個(gè)設(shè)定的密鑰,用它進(jìn)行解密和簽名,同時(shí)設(shè)定一把公鑰,用于加密和驗(yàn)證簽名。在進(jìn)行網(wǎng)上信息溝通時(shí),發(fā)送方使接收方的公鑰對數(shù)據(jù)加密,接收方用自個(gè)的私鑰解密,這樣就能夠使信息進(jìn)行安全通信了。(2)訪問管理。訪問管理也叫訪問控制,是計(jì)算機(jī)安全的核心元素,保障受權(quán)用戶在其權(quán)限內(nèi)對受權(quán)資源進(jìn)行正當(dāng)使用。訪問控制介于用戶與系統(tǒng)資源之間。系統(tǒng)對進(jìn)行鑒別之后,決定用戶的訪問請求能否被允許,以及該用戶能夠訪問那些資源。(3)密碼技術(shù)。密碼技術(shù)是最基本的網(wǎng)絡(luò)安全手段,是結(jié)合數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通信等眾多學(xué)科于一體的穿插科學(xué),具有數(shù)字簽名、身份驗(yàn)證、機(jī)密分存、系統(tǒng)安全等功能。密碼技術(shù)能夠解決常見的信息截取或篡改、偽造信息來源等安全威脅。1.4網(wǎng)絡(luò)通信安全網(wǎng)絡(luò)是我們與外界聯(lián)絡(luò)的紐帶,通過網(wǎng)絡(luò)我們能夠?qū)崟r(shí)保持與外界的通信聯(lián)絡(luò),接收、發(fā)送各類數(shù)據(jù)信息,能夠講如今的我們已經(jīng)離不開網(wǎng)絡(luò)。講網(wǎng)絡(luò)通信安全,我們就不得不提網(wǎng)絡(luò)的主要安全架構(gòu)防火墻。防火墻是施行網(wǎng)絡(luò)控制策略的一個(gè)或一組系統(tǒng),設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,它的存在使得內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間相互隔離,防火墻的主要功能包括數(shù)據(jù)包過濾、審計(jì)和報(bào)警機(jī)制、MAC與IP地址綁定,流量控制、帶寬管理等,如今大多數(shù)家庭使用的寬帶路由器也具有防火墻功能。防火墻的目的就是在與外部網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn),允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對網(wǎng)絡(luò)通信的審計(jì)和控制。防火墻可在三種形式下工作,路由形式、透明形式、混合形式。路由形式即防火墻類似一臺路由器,通過它來轉(zhuǎn)發(fā)數(shù)據(jù)包,將源MAC地址替換為透明相應(yīng)接口的MAC地址。透明形式即防火墻類似一臺網(wǎng)絡(luò)交換機(jī),將接收的數(shù)據(jù)包不改動(dòng)直接轉(zhuǎn)發(fā)。混合形式就是上述兩種方式的混合。1.5網(wǎng)絡(luò)安全防御網(wǎng)絡(luò)安全問題日益突出,那么必然催生網(wǎng)絡(luò)安全的防御,這就像一對性格截然相反的親兄弟,總是結(jié)伴出現(xiàn)的。當(dāng)前對于大型門戶網(wǎng)站和企業(yè)網(wǎng)站所采取的主要防御技術(shù)有下面幾種。(1)物理隔離,就是兩個(gè)網(wǎng)絡(luò)或是兩個(gè)計(jì)算機(jī)完全不相連,他們之間的數(shù)據(jù)交換通過移動(dòng)存儲(chǔ)介質(zhì)來實(shí)現(xiàn),如光盤、U盤等。(2)邏輯隔離技術(shù),實(shí)現(xiàn)的方式主要就是防火墻,通過防火墻實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的數(shù)據(jù)交換。(3)防御來自網(wǎng)絡(luò)攻擊的技術(shù),常用技術(shù)和產(chǎn)品就是抗攻擊網(wǎng)關(guān),好多網(wǎng)絡(luò)攻擊都是利用TCP/IP協(xié)議本身的缺陷來工作的,早期的TCP/IP協(xié)議族用的IP是IPv4協(xié)議,如今互聯(lián)網(wǎng)和多數(shù)局域網(wǎng)用的也是IPv4協(xié)議,在設(shè)計(jì)之初根本沒有考慮網(wǎng)絡(luò)安全問題,進(jìn)而導(dǎo)致網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包很容易泄露和被攻擊竊取。因而,為了保證傳輸層的安全,數(shù)據(jù)認(rèn)證和數(shù)據(jù)加密技術(shù)應(yīng)運(yùn)而生,廣泛應(yīng)用的是SSL握手協(xié)議和SSL記錄協(xié)議,利用多種密鑰交換算法對信息進(jìn)行分段壓縮加密,進(jìn)而保證信息數(shù)據(jù)安全。(4)防病毒網(wǎng)關(guān),傳統(tǒng)的病毒檢測和殺毒是在客戶端,假如內(nèi)部網(wǎng)絡(luò)多臺計(jì)算機(jī)感染病毒,那么你通過單機(jī)客戶端殺毒是解決不了作用的,防病毒網(wǎng)關(guān)的功能就是在內(nèi)網(wǎng)與外網(wǎng)的連接處,對內(nèi)網(wǎng)機(jī)器的殺毒只要更新防病毒網(wǎng)關(guān)就能夠了。(5)郵件過濾技術(shù),多數(shù)病毒或木馬,釣魚軟件都是通過郵件傳送的,對郵件內(nèi)容、附件、附件格式的過濾,能夠有效防止客戶端或者內(nèi)部網(wǎng)絡(luò)安全。(6)身份認(rèn)證,對于單機(jī)或者網(wǎng)絡(luò)用戶,進(jìn)行身份驗(yàn)證是保證訪問權(quán)限的第一關(guān),你是誰,怎么確認(rèn)你是誰,你屬于什么組,該組的權(quán)限是什么,這些都是保證網(wǎng)絡(luò)用戶和運(yùn)營商的安全體系環(huán)節(jié)之一。(7)信息加密技術(shù)和公鑰相關(guān)軟件服務(wù)。當(dāng)前網(wǎng)絡(luò)的安全趨勢就是使用公開密鑰體系,所有用戶在完善的安全原則及實(shí)用準(zhǔn)則下,獲得用戶的公鑰憑證,借此達(dá)成復(fù)雜的身份鑒別機(jī)制,及難以破解的私密性,由此提出更嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)安全服務(wù)。例如蘋果手機(jī)ISO系統(tǒng)的ID身份驗(yàn)證。(8)入侵檢測技術(shù)和主動(dòng)防衛(wèi)技術(shù),入侵檢測經(jīng)過包括信息采集、信息分析和入侵檢測響應(yīng)三部分。(9)針對服務(wù)應(yīng)用層的攻擊主要集中在會(huì)聚層和應(yīng)用層,主要包含針對應(yīng)用服務(wù)器的網(wǎng)絡(luò)攻擊和惡意軟件入侵,華而不實(shí)惡意軟件檢測技術(shù)用來保衛(wèi)系統(tǒng)免受惡意軟件的危害,惡意軟件的檢測技術(shù)分為基于異常的檢測技術(shù)、基于規(guī)則的檢測技術(shù)和基于特征的檢測技術(shù)。對于大型、企業(yè)內(nèi)部網(wǎng)絡(luò),針對應(yīng)用層主要采用物理隔離方式方法,對于網(wǎng)絡(luò)應(yīng)用服務(wù)商來講,對應(yīng)用層的攻擊防護(hù)主要就是定期更新升級殺毒程序。2網(wǎng)絡(luò)安全架構(gòu)在訪問網(wǎng)絡(luò)的經(jīng)過中,針對非受權(quán)用戶截取或修改數(shù)據(jù)等訪問威脅,其安全能夠分為兩類,一是網(wǎng)閘功能,網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì),連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的信息安全設(shè)備,網(wǎng)閘的存在隔離和阻斷了具有潛在攻擊可能的一切連接,實(shí)現(xiàn)了高程度的網(wǎng)絡(luò)安全。二是內(nèi)部安全控制,若非受權(quán)用戶得到訪問權(quán),第二道防線將對其進(jìn)行防御,包括各種內(nèi)部監(jiān)控和分析,以確定入侵者,如此圖1所示。3辦公網(wǎng)絡(luò)安全內(nèi)部辦公網(wǎng)絡(luò)作為信息網(wǎng)絡(luò)的一個(gè)特殊應(yīng)用領(lǐng)域,尤其是牽涉國防及國有大型保密性單位網(wǎng)絡(luò),在系統(tǒng)服務(wù)器上運(yùn)行著大量需要保衛(wèi)的數(shù)據(jù)和信息,假如系統(tǒng)的安全性被毀壞,造成敏感信息暴露或丟失,或網(wǎng)絡(luò)被攻擊等安全事件,可能導(dǎo)致嚴(yán)重的后果。怎樣設(shè)計(jì)完善的信息安全系統(tǒng),怎樣構(gòu)成有效的信息安全管理體系等問題都是內(nèi)部辦公網(wǎng)絡(luò)信息化的難點(diǎn)和重點(diǎn)。3.1內(nèi)部辦公網(wǎng)絡(luò)安全域防護(hù)體系安全域(securitydomain)一般以為由同一安全策略所統(tǒng)轄的區(qū)域就是一個(gè)安全域。最理想的劃分是:需要進(jìn)行一樣安全保衛(wèi)的同類數(shù)據(jù)信息或同類服務(wù)功能在同一個(gè)域中實(shí)現(xiàn)存儲(chǔ),傳輸和處理。安全域可分為安全計(jì)算域、安全用戶域和安全網(wǎng)絡(luò)域。本闡述描繪敘述的辦公網(wǎng)絡(luò)安全域主要指安全網(wǎng)絡(luò)域。圖1網(wǎng)絡(luò)安全構(gòu)架由于內(nèi)部辦公網(wǎng)絡(luò)是一個(gè)大型的局域網(wǎng),其安全局域網(wǎng)絡(luò)域的等級與其所連接的或組成的安全計(jì)算域的等級是一樣的。所以根據(jù)安全域邊界和內(nèi)部的風(fēng)險(xiǎn)分析,對于大型內(nèi)部辦公網(wǎng)絡(luò)的安全問題基本就能確定安全解決方案。對于外網(wǎng)接入,假如不采用物理隔離的方式方法,那么主要安全風(fēng)險(xiǎn)就是網(wǎng)絡(luò)訪問控制、防網(wǎng)絡(luò)入侵、防資源濫用、防區(qū)域網(wǎng)絡(luò)病毒傳播和防數(shù)據(jù)泄漏。采用的安全技術(shù)有防火墻。對于內(nèi)部網(wǎng)絡(luò)設(shè)備,主要風(fēng)險(xiǎn)是設(shè)備的單點(diǎn)故障等問題,如內(nèi)網(wǎng)交換機(jī)、路由器的配置等,這類問題可通過設(shè)備冗余的方式解決,對內(nèi)網(wǎng)各個(gè)部門間交換數(shù)據(jù)最佳的安全技術(shù)是利用入侵檢測系統(tǒng)或安全應(yīng)用軟件對各個(gè)安全域的交換數(shù)據(jù)進(jìn)行檢測。對于內(nèi)部網(wǎng)絡(luò)管理,主要安全風(fēng)險(xiǎn)為網(wǎng)絡(luò)系統(tǒng)漏洞、業(yè)務(wù)漏洞、業(yè)務(wù)違規(guī)操作、數(shù)據(jù)庫漏洞和數(shù)據(jù)庫違規(guī)操作。管理人員權(quán)限分配問題、身份確認(rèn)問題和多系統(tǒng)的有效安全管理問題。受權(quán)管理和責(zé)任認(rèn)定,用安全管理平臺進(jìn)行全面統(tǒng)一的管理。3.2內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署和配置內(nèi)部網(wǎng)絡(luò)核心系統(tǒng)一般包括網(wǎng)絡(luò)服務(wù)器、事件采集服務(wù)器、郵件服務(wù)器。網(wǎng)絡(luò)服務(wù)器完成對內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的處理、存儲(chǔ)、和網(wǎng)絡(luò)的正常運(yùn)行;數(shù)據(jù)庫服務(wù)器實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)功能;事件采集服務(wù)器完成對各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)\應(yīng)用系統(tǒng)的弱點(diǎn)數(shù)據(jù)采集和威脅數(shù)據(jù)采集功能;郵件服務(wù)器實(shí)現(xiàn)內(nèi)部各部門間郵件和文件的遞送、分發(fā)等功能。根據(jù)整體安全策略要求,就企業(yè)或網(wǎng)站建設(shè)要求來講,網(wǎng)絡(luò)總體安全方案由安全操作系統(tǒng),應(yīng)用系統(tǒng),防病毒,防火墻,系統(tǒng)與外網(wǎng)物理隔離,入侵檢測軟件,網(wǎng)絡(luò)監(jiān)控系統(tǒng),信息審計(jì),加密通信,安全掃描,網(wǎng)絡(luò)入侵系統(tǒng)恢復(fù)等多個(gè)安全系統(tǒng)模塊組成,尤其注意,在網(wǎng)絡(luò)建設(shè)中,資金投入是基礎(chǔ),假如為了節(jié)約資金,單個(gè)或者少量的安全組件是無法確保信息安全的。在網(wǎng)絡(luò)層次構(gòu)造中,主流技術(shù)就是在數(shù)據(jù)鏈路層采取加密技術(shù),網(wǎng)絡(luò)層采用的技術(shù)有數(shù)據(jù)包過濾,IPSEC協(xié)議,TCP/IP協(xié)議層采用SSI協(xié)議,應(yīng)用層采用SHTTP、SMIME等安全協(xié)議。4結(jié)束語網(wǎng)絡(luò)安全不僅要從網(wǎng)絡(luò)設(shè)備,軟件系統(tǒng)的整體考慮,突出重點(diǎn),統(tǒng)籌兼顧,更要以人員的安全教育、人員素質(zhì)、人員計(jì)算機(jī)、網(wǎng)絡(luò)知識的教育為主,這樣才能管理網(wǎng)絡(luò),應(yīng)用網(wǎng)絡(luò),讓它能更好地為我們生產(chǎn)、生活安全服務(wù)。以下為參考文獻(xiàn)：[1