本站原创【摘 要】计算机技术和网络技术的快速发展以及INTERNET的普及,为人们带来了便利性,并提高了工作效率,但同时也出现了一系列的网络安全问题.要减少安全问题,应该在构建网络之初就要考虑到提高网络安全的设计技术.因此,无论是公司,还是校园网,都需要一种经济,实用和安全的设计方案,才能保证网络的可靠运行.
【关 键 词】网络安全操作系统网络防病毒软件防火墙入侵检测系统
随着网络技术的高速发展,人们的日常生活和工作已经和网络密不可分了,如电子商务,电子政务,网络银行,数字货币等等.在享受着便利和资源共享的同时,安全问题也慢慢浮出来,除了大型的网站受到攻击,不能正常使用外,一些网站还泄露用户的信息,甚至还泄露了用户信用卡帐号及,造成的危害越来越大.因此无论个人还是单位现在最关心的就是网络的安全问题.当然,要做到网络的百分百安全是完全不可能的,能做的只能是减少安全问题的发生.所以,在组建网络的初期,就应考虑到提高网络安全的设计技术.现在一些公司大部分的安全方案都是由简单的带有防火墙功能的路由器和个人版的杀毒软件所组成,布局得比较简单,不够系统,所以经常还是出现中毒,资料外泄的现象出现.因此,要设计一套安全的方案是必须的.
一、网络安全存在的威胁
要设计一套安全的方案,必须先了解现存的威胁,才能更好地对应症下药.
(一)硬件故障
硬件故障包括计算机,线路,以及各种网络设备的故障,除了正常的老化外,还存在电磁幅射及干扰,甚至还可能由于闪电,打雷,地震,火灾等自然灾害所造成的,所有这些都会影响着网络的安全.当然,要延长硬件的寿命,最重要的一点就是要考虑到所有这些硬件的运行环境,如温度,湿度等等.
(二)操作系统和软件的漏洞和‘后门’
无论是WINDOWS操作系统还是UNIX操作系统,都存在着系统漏洞,更何况大部分人使用的都是盗版的操作系统,而正是这些漏洞的存在,才有机可乘.而”后门”一般是程序员在设计时为了方便再进入系统和软件的一个快捷通道,当任务完成后,这些“后门”很多时候仍然是打开的.如果这些后门被外人所知道,后果则是不堪设想的.当然有些“后门”是入侵者为了下次能再次进入系统而故意留下的,同时入侵者入侵后会消除入侵痕迹,所以“后门”一般不会被发现.
(三)内部的威胁
实践证明,70%以上的攻击都是由内部人员所引起的.除了内部人员的安全意识不强,导致机密的泄露外,还有些内部人员不满公司,故意破坏内部的网络系统,售卖公司的机密情报等等.
(四)计算机病毒
随着信息技术的发展,计算机病毒的发展速度也惊人,有的时候是先有病毒的发生,才有了防这种病毒的技术,而一旦电脑中毒,轻则占用资源,系统运行缓慢,重则数据丢失,系统崩溃,后果严重.
(五)木马程序和攻击
利用木马程序,可以控制服务器端的电脑,不但可以提升自己的权限,进行非法访问,还可以安装非法软件,获取用户的私密信息,帐户和等等.
(六)网络监听
如果传输的信息是明文,并没有进行加密,可以利用SNIFFER等各种获取用户传输的信息,同时也可以利用软件对传输的信息进行篡改、删除或插入等动作.
(七)网络协议的缺陷
在建网的初期,设计时并没有很多考虑到网络的安全性,更多考虑的是网络的连通性,所以无论是IPV4,还是TCP/IP,这些重要的协议本身就存在一定的安全隐患,很容易被窃听和欺骗.
二、安全设计方案的需求分析
(一)要保证网络的路由器等重要设备不受到入侵,而即使发生了入侵,也应该可以记录到有入侵行为的发生,以便反跟踪攻击者,从而知道漏洞的存在,以便做好更好的防范.同时要有及时发现病毒和木马的能力,减少危险.
(二)要有监控流量的功能,从而可以了解用户的上网情况,,禁止员工在正常的上班时间玩游戏,上不良网站,等现象,防止因个人大量的占用带宽而影响网络的的可靠和稳定的运行.
(三)方案必须要有防火墙等设备,以便更好地设定访问控制规则,禁止没有权限的用户访问内部网络,同时也禁止某些用户进行提权访问.
三、安全的设计方案
(一)网络规划
整个网络架构可以划分为核心层,汇聚层和接入层.性能最好的设备应放在核心层,同时最重要的防护也要放在核心层.布局核心层时,应采用双备份的三层交换和光纤冗余,保证网络的可靠性.根据安全程度,整个网络可以分为外网,内网和DMZ区.外网就是连接INTERNET的区域,这个区域最重要的就是能提供正常稳定的网络.而在DMZ区则是存放的是一些可以公开的服务器系统,可以让外网的人访问,如关于公司主页的WEB服务器,还有邮件服务器和电子商务系统等等.而内网存放的则是一些重要的单位机密信息,禁止外面的人访问,如关于公司机密的数据库服务器,内部员工的重要信息等等.
(二)在重要的区域间安装防火墙
防火墙技术是抵抗入侵和防止未授权访问的最有效手段之一,也是实现网络安全最普遍的工具之一.它是隔离内网与外网的一道安全的防护系统,也是网络安全最基本的基础设施.
一般公司安装的都是较贵,但防范能力较强的硬件防火墙,防火墙种类较多,但现在一般会选用状态检测防火墙,结合了滤和应用防火墙的优点.而防火墙的体系结构一般会使用屏蔽主机结构,它比堡垒主机结构更安全.为了防止非授权用户的访问,更重要的是进行访问控制策略的设置,从而保证重要区域的数据.
(三)在防火墙的后面安装入侵检测系统
入侵检测技术是指可以对计算机和网络资源的恶意使用行为可以监测到,并能进行记录和报警的一种技术,包括了网络系统外部的入侵和内部用户的非法使用等行为,而进行入检测的软件和硬件的组合就是入侵检测系统.防火墙并不能完全保证网络的安全,而且防火墙更重要的是防止外来人的入侵,对内部人员的作案并不会检测出来.而入侵检测系统则可以发现内部人员的非法访问,是防火墙的一个补充.
入侵检测系统的实现分为几个步聚,首先进行数据收集,通过监听端口,就可以收集到所关心的报文.接着进行数据分析,一般会通过模式匹配,统计分析和完整性分析三种手段,根据三种模式的特点,来发现是否有异常或者与平时正常活动的特征偏离多少来进行判断用户是否违反安全策略,最后如果被认定异常或与攻击行为的特征相匹配,则会进行记录和报警,并采取一定的措施,如断网,发报告给管理者等等.
现在所安装的入侵检测系统一般都是采用主机和网络型相结合的入侵检测系统.在一些特别重的的服务器可以安装主机型入侵检测系统,有一些重要网络的区域可以在交换机上连接网络型入侵检测系统.
(四)采用网络防病毒技术
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码.
计算机的病毒的危险性是很大的,轻则只是占用系统资源,让机器运行缓慢,重则是可以破坏重要的数据 ,甚至可以毁坏计算机的硬件,如CIH病毒,所以防范病毒是必须的.个人一般是安装个人版的杀毒软件,如瑞星,360等等,但对于一间家公司来说,为了方便管理和维护,应该安装的是网络版杀毒软件,可以定期统一进行更新病毒库,也可以统一进行杀毒,当然更重要的是用户必须要用安全意识,不要随便上不良网站,不要随意插U盘等等.
(五)使用扫描技术
之所以可以入侵系统,是因为他先踩点,使用扫描技术扫描出在一片区域中有哪一台机器存在漏洞,然后攻击它,并可以使它成为“肉鸡”,然后不断去攻击其他机器.所以,我们也可以使用安全扫描技术来关闭某些不需要开放的端口和服务,也可以找出本系统的漏洞,然后根据漏洞进行打补丁和进行安全配置操作系统.
(六)防止SNFIFFER嗅探,对数据进行加密
如果传输的数据是明文,可以利用SNIFFER等软件可以获取你传输的信息,如果获取的内容有帐号和等信息,后果不堪设想.所以了为防范嗅探,我们可以对敏感数据进行加密,如使用SSH协议或者利用PGP软件等.
(七)安装用户上网行为的监控系统
为了提高工作效率,应该禁止员工在上班时间进行网上看电影,炒股,,通过监控系统,杜绝个人大量地占用带宽,必要的时候还可以进行限流的设置.
四、结语
在当今时代,网络安全已和我们生活息息相关,设计一个安全的网络方案是必须的,本方案更注重在内网的防护进行了设计,该方案不仅适合各类单位,学校,而且也有一定的扩展性,即使网络技术在不断发展,方案也会适合未来的发展需求.但更重要的是每一位使用者都必须要有安全意识,注意数据的备份,将风险降到最低.