张芳
(河北兴泰发电有限责任公司,河北邢台054000)
摘要:随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。现基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。
教育期刊网 http://www.jyqkw.com
关键词 :复杂冗余;网络安全;安全审计系统
0引言
随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。本文基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。
1合理构建网络安全基础设施
1.1防火墙系统
防火墙是指隔离在本地网络与外部网络之间的一个执行访问控制策略的防御系统。防火墙部署在风险区域(例如Internet)和安全区域(例如内部网络)之间,对流经它的网络通信进行扫描,过滤掉一些攻击,以免其在目标计算机上被执行。防火墙系统作为维护网络安全的第一屏障,其性能好坏直接关乎整个网络安全的强度。具体防火墙系统的设计可以在网络的不同外部接入网和核心网络汇聚层之间采取硬件式防火墙,从而达到对外部接入网的相关网络访问进行全面监测的目的,以保障网络运行环境的安全。
1.2入侵监测系统
防火墙实现的是网络边界安全防范,但由于各种原因总会有部分恶意访问能够突破边界防护,对内部网络构成威胁。入侵监测系统能够对进入受保护网络的恶意流量实现监测、报警,入侵防御系统甚至能够与防火墙等边界安全设备实施联动,及时阻断恶意流量,减轻恶意访问对内部网络所造成的破坏。入侵监测系统设计的目的在于更好地应付网络业务、规模的扩大趋势,提升处理网络攻击事件的能力,从而最大程度上避免因各种操作风险而引发的各项潜在损失。具体的入侵监测系统部署示意图如图1所示。
1.3虚拟专用网(VPN)技术
虚拟专用网(VirtualPrivateNetwork,VPN)是一种基于公共数据网,给用户一种直接连接到私人局域网感觉的服务。VPN技术是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
1.4安全审计系统
虽然网络安全的各类硬件部署可以很好地解决网络安全相关问题,但由于网络内部人员违规操作或过失行为造成的损失,是无法控制的。因而,需要构建安全审计系统,减少违规操作的潜在损失。安全审计系统的基本搭建方式是通过网络并联的方式,强化关键服务器对网络路径数据包的监控力度,同时借助协议解析、状态监测等先进技术,实行对网络数据包的再过滤,进而制定一个系统性审计制度,消除重要事件带有攻击性的特征。最后,安全审计系统需要对攻击性网络事件及时响应,阻断未授权用户的访问,同时进行日志记录工作,将攻击事件按照严重程度打包并传送到主界面,通过后期的人为操作,进一步强化对攻击性事件的防护能力。
1.5内网安全风险管理系统
内网安全风险管理系统是基于对内网本身的安全性考虑而设计的,体现出内网大数据和分布性部署的特点,会经常疏忽系统的补丁、防病毒软件的升级工作。另外,由于受到权限的影响,内网本身会在一定程度上降低防火墙系统的级别设置,形成宽松的内网环境,从而造成不明软件恶意安装、检测内网系统数据,从而造成大量的内网安全漏洞以及管理真空的风险。在实际操作过程中,主要利用在内网安全风险管理系统的终端上嵌入式安装AGENT的方式,实行对终端网络的监控,对于没有安装AGENT或是没有达到内网安全要求的终端,禁止其对内网系统的访问,以最终实现安全终端准入的要求。
2网络安全管理平台
2.1网络安全事件管理
网络安全事件管理平台主要是将收集到的不同类型的信息,通过一种特定的方式分类、归集,以减少事件风暴发生的概率。其通过对海量事件的整理,挖掘出真正值得关注的网络安全事件,找出不同类别网络攻击对象的关联与共同点,及时找到解决的应对措施,以提升整个网络在甄别网络安全事件上的准确率。在实际操作中可以看到,网络安全事件管理的主要对象是全网性的安全威胁状况,根据网络潜在威胁的程度,系统性地进行预测,从而最大程度上保障网络业务的正常运作。
对于威胁管理,主要是将网络各个系统收集到的事件归结到资产中,根据资产的价值规模以及关键程度,实行事件等级分类。另外,运用关联性的分析引擎,进行关联分析和映射,可以有效判定事件在处理操作上的优先次序,适当评估出目前资产遭受攻击的程度以及可能会发生经济损失的程度。威胁管理可以精确评估出当下事件对目标资产的影响,对于事前的控制具有十分重要的作用。脆弱性管理是确定网络资产安全威胁概率、发生威胁后的脆弱性,同时有效评估损失和后期影响的一个过程。脆弱性管理的对象是核心资产,方式是对网络系统的核心资产、漏洞、威胁进行全面、综合的监控和管理。
2.2网络安全信息管理
网络安全信息管理主要包括网络安全知识管理、资产信息管理两个方面,方法是对于网络安全基础设施提供的信息,提供有针对性的信息管理平台,对较少涉及的网络安全事件做出具体分析。主要包括以下两个核心库:首先是资产信息库,资产信息库的构建目的是实现系统性的关联性分析,作用是推动后期网络安全事件管理定位,解决潜在性威胁;其次是安全知识库,安全知识库涵盖了众多的网络安全知识以及网络安全补丁,可以为网络安全管理人员提供解决实际问题的参考信息。
3结语
本文从网络安全基础设施出发,从入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统、安全审计系统等方面对复杂冗余网络下的网络安全设计进行了深入分析,主要涵盖了网络安全事件管理和网络安全信息管理两个方面。本文设计能极大地提升网络安全事件的监控和防范能力,提高处理效率。另外,通过对网络安全进一步的统一管理及配置,可以更好地降低复杂冗余网络中的各项风险,改善网络运用的安全环境。
[教育期刊网 http://www.jyqkw.com
参考文献]
[1]朱瑶.财务信息管理系统安全问题[J].黑龙江科技信息,2010(35).
[2]叶军.基于防火墙技术的计算机网络信息安全的探讨[J].硅谷,2010(23).
[3]陈向阳,肖迎元,陈晓明,等.网络工程规划与设计[M].北京:清华大学出版社,2007.
[4]柳扬.计算机信息管理在网络安全中的应用研究[J].电子制作,2013(16).
收稿日期:2015?07?07
作者简介:张芳(1970—),女,河北邢台人,工程师,研究方向:热能动力。
