网络安全技术在网络管理中的应用研究
摘要:本文依据现代信息化的安全技术特点,结合网络建设需求分析、投资与风险分析,提出了网络建设与网络安全同步实施的策略。
关键词:网络安全 网络建设 安全 策略
1 引言
随着信息技术的广泛应用,对信息技术的依赖性越来越大,信息安全问题日益突出。如何对计算机网络系统的安全特性进行评估成为一个迫切而具有挑战的课题。
对于来自外部的威胁,可以采用防火墙、入侵监测等产品。但对于来自内部人员(合法用户)的一些误操作,滥用权力,有意犯罪,越权访问机密信息,或者恶意篡改数据,缺乏管理机制,这些更加难以防范。需要相关的安全审计产品予以监督,能够做到时候有据可查,对于误操作、或者恶意事件能够追溯,也可以对内部人员的操作起到很好的警示作用。
2 信息安全保护技术概述
3 网络安全的现状分析
目前,网络系统内主要运行的网络协议为TCP/IP协议,而TCP/IP网络协议并非专为安全通信而设计。所以,网络系统可能存在的安全威胁来自以下方面:
(1)物理层的安全威胁
物理层的安全威胁,主要来自对物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)、电磁辐射等,针对这类威胁主要依靠物理设备和线路的保护以及设备防电磁辐射技术来防范,建立完善的备份系统。
(2)ก网络层的安全威胁
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或窃听,对于这类威胁,主要依靠采用访问控制、网络信息检测和监控的手段来防范、划分VLAN(局域网)、加密通讯(广域网)等手段来进行防范。
(3)操作系统和数据库管理系统的安全威胁
目前流行的许多操作系统和数据库管理系统均存在安全漏洞,对付这类的安全威胁最好采用安全的操作系统和安全数据库管理系统。
(4)应用平台的安全威胁
应用平台的安全威胁主要包括建立在网络系统之上的应用软件服务,如文件传输服务器、电子邮件服务器、Web服务器等存在安全问题。通常采用OS安全增强技术、SSL技术等来增强应用平台的安全性。 ☁
(5)应用系统的安全威胁
应用系统完成网络系统的最终目的是为用户服务。主要采用各种基于PKI的技术、加密技术、防火墙技ง术等等来保证信息存储安全,通讯双方的认证,审计等。
(6)系统安全管理上的漏洞威胁
一个网络系统虽然采用了很先进和严密的安全技术措施,但是由于内部人员使用不当或安全管理员疏忽,对安全策略设置不严密、管理制度不健全,都可能给系统带来安全漏洞或安全隐患,这就需要系统安全管理员☿要有极强的责任心加强对系统安全管理 [3]。
4 计算机网络的安全策略
4.1 物理安全策略
在保留原有的安全技术措施的基础上,在接入交换机上采用IP+MAC进行绑定的方式进一步控制非法用户的接入,对于不在使用的空余交换机端口全部采用DOWN方式,完全可以控制非法用户的接入。
4.2 访问控制策略
IP+MAC绑定功能可以简化网管人员的工作,因为限制了客户机的接入,既增加了网络的安全性、又减少了IP冲突的可能。在实际的配置中,可以通过中心的网管软件,实现IP+MAC的端口绑定,对于不用的端口全部DOWN掉。
当非法用户1接入已经DOWN端口的交换机时候,不会有任何的物理连接,非法接入行为不会发生。
当非法用户2接入到正常使用的交换机端口后,首先终端管理软件会提示IP地址冲突并阻断接入的行为。
当非法用户2通过仿冒正确IP的方式接入到交换机端口后,交换机系统会根据预设的IP地址+MAC地址,进行检查比对,发现不一致后会立即阻断仿冒IP接入的非法行为。
4.3 网络安全管理策略
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
网络安全管理系统分为三个层次:管理层、接入层和远程访问。
(1)管理层
由2台集中认证控制管理平台构成。提供用户集中的访问管理门户,所有的远程KVM会话,串口会话,带内控制会话和电源管理操作,全部在认证控制管理平台上操作完成;同时,所有用户要进行以上的操作,必须要经过系统的集中认证后,才能登陆。所有的操作全部会被记录至管理平台。
(2)接入层连接
机房内所有服务器的键盘、鼠ฝ标和显示器接口都通过一根服务器接口线缆获取KVM信号,接口线缆再通过普通五类线连接至设备。设备的本地控制端口连接控制台,提供用户在机架旁的本地化管理。机房内所有网络设备的接口都通过一根串口转借线缆获取串口信号,再通过普通五类网线连接至串口管理设备。所有设备的双电源连接至电源管理设备。
(3)远程访问
远程IP操作用户只需要在IE浏览器内输入主认证服务器的IP地址经过权限认证后即可对机房内的所有的各类服务器和网络设备进行集中统一管理。不同的IP用户都通过开放式的Web浏览器只需鼠标点击即可访问到机房内相应的设备,通过简单的用户分组和权限设置后不同部门的操作用户根据各自权限的不同可以访问各自不同部门的设备。
远程用户通过认证控制管理平台,还可以实现对机房设备的电源进行集中管控,可以实现远程开、关和重启等操作,并可以统计设备的端口电压和电流。实现最小化访问权限控制,实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。
5 总结
本文以中小型网络建设和安全防范的实例为基础,探讨了网络建设的基本思路,分析了网络不同层次和不同系统中当前网络存在隐患和威胁,并设计了相应的防范对策,从而提出了网络安全建设的基本方案。
参考文献:
[2]陈晓[.基于WEB的IP城域网综合网管系统的研究与应用[D].南昌大学,2005-05-01
[3]彭南斌.网络安全研究及在网络工程中的实践[D].天津大学,2007-06-01