序論:在您撰寫網絡安全防護手段時�,參考他人的優秀作品可以開闊視野���,小編為您整理的7篇范文����,希望這些建議能夠激發您的創作熱情����,引導您走向新的創作高度��。
第1篇
關鍵詞:網絡安全�;防火墻��;技術特征
21世紀全世界的計算機都通過Internet聯到一起���,信息安全的內涵也就發生了根本的變化�。它不僅從一般性的防衛變成了一種非常普通的防范��,而且還從一種專門的領域變成了無處不在���。當人類步入21世紀這一信息社會��、網絡社會的時候,我國應建立起一套完整的網絡安全體系��,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系�����。一個國家的信息安全體系實際上包括國家的法規和政策����,以及技術與市場的發展平臺�����。我國在構建信息防衛系統時�����,應著力發展自己獨特的安全產品��,我國要想真正解決網絡安全問題���,最終的辦法是通過發展民族的安全產業�,帶動我國網絡安全技術的整體提高����。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了����。第二���,網絡的安全機制與技術要不斷地變化�����。第三,隨著網絡在社會各個方面的延伸�,進入網絡的手段也越來越多���,因此���,網絡安全技術是一個十分復雜的系統工程�。為此�,建立有中國特色的網絡安全體系,需要國家政策和法規的支持及安全產品生產集團聯合研究開發�。安全與反安全就像矛盾的兩個方面�����,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。信息安全是國家發展所面臨的一個重要問題��。對于這個問題���,我們還沒有從系統的規劃上去考慮它����,從技術上、產業上、政策上來發展它��。政府不僅應該看見信息安全的發展是我國高科技產業的一部分�����,而且應該看到���,發展安全產業的政策是信息安全保障系統的一個重要組成部分���,甚至應該看到它對我國未來電子化����、信息化的發展將起到非常重要的作用�����。
1 網絡安全現狀
由于政務網�����、商務網所有業務應用系統都基于一個企業網絡系統實現,因此,應用與應用之間難以有效地隔離���;同時���,用戶情況復雜����,有的用戶屬于重要應用崗位,有的屬于一般崗位���。雖然這些用戶對應用的安全服務要求不同,但他們均混雜在一個局域網絡�,因此對用戶較難以分別控制�����。此外,政務網��、商務網應用是基于開放的平臺實現的��,開放系統平臺和開放的通訊協議存在安全缺陷及漏洞����,同時也造成了這些應用存在著安全上的隱患��?����?傊鞣N應用之間可能存在信息非法訪問��、存取的機會���,這都給政務網��、商務網的信息應用的安全運行帶來巨大的風險。這些風險包括用戶對信息的誤用���、濫用、盜用以及破壞����。對于政務網����、商務網等信息應用系統來說,面臨的攻擊�����、威脅的主要手段有:病毒��、破壞硬件設備�����、冒充、篡改����、竊取等����。在網絡系統中�,無論任何調用指令,還是任何反饋均是通過網絡傳輸實現的����,所以網絡信息傳輸上的安全就顯得特別重要����。信息的傳輸安全主要是指信息在動態傳輸過程中的安全�����。為確保政務網、商務網網絡信息的傳輸安全,主要應注意對網絡上信息的監聽�。對網上傳輸的信息���,攻擊者只需在網絡的傳輸鏈路上通過物理或邏輯的手段�,就能對數據進行非法的截獲與監聽���,進而獲得用戶或服務方的敏感信息�����。計算機網絡上的通信面臨以下四種威脅:截獲——從網絡上竊聽他人的通信內容��。中斷——有意中斷他人在網絡上的通信。篡改——故意篡改網絡上傳送的報文�����。偽造——偽造信息在網絡上傳送���。
2 網絡安全管理監控
信息系統安全性起于好的管理�。這包括檢查所有重要文件和目錄的所有者和許可權限,監視特權賬戶的使用,檢查信息的使用及占有情況等。在一個信息系統運行中�,影響系統安全的因素很多�����,但其中50%與管理因素有關。政務網、商務網信息系統較為復雜,一旦信息處理的某個節點或環節出現問題���,很可能導致信息系統降低效率或癱瘓��。而信息系統單純依靠人工管理存在較大困難和諸多安全隱患�,因此����,需要一種手段和技術來保證信息系統的可管理性,并減少信息系統維護的費用。在政務網、商務網等信息系統中��,分布式結構和網絡計算占了重要地位����。隨著信息系統規模的擴大,我們會發現一個問題����,就是策略的統一性����、連續性。我們知道,對于政務網�、商務網而言�,整個信息系統是一個整體�����,想保證整體系統的可靠性�、可用性和安全性���,那么必須保持每一個局部的網絡或者主機的安全性和可靠性?���,F在很多安全方面的隱患是由于整體信息系統的策略實施的不統一造成的。因此,當政務網、商務網制訂了企業的整體安全策略時�����,除了通過規章制度把這些想法傳達下去���,還要具備相應的技術手段來保證這一點��。
對于政務網、商務網這樣的用戶必須建立一個集中式管理的概念���,就是數據和處理能力可以是分散的,但對于管理而言���,應該是集中的。而所管理的內容應該包括企業網絡中一些重要的信息���,如:系統的集中管理、網絡的集中管理��、應用的集中管理���、防火墻系統的集中管理��、網絡用戶的集中管理���,以及和這些相關的管理信息的復制���、更新和同步��。
3 防火墻技術及其發展趨勢
防火墻是由軟件、硬件構成的系統���,是一種特殊編程的路由器,用來在兩個網絡之間實施接入控制策略�����。接入控制策略是由使用防火墻的單位自行制訂的�,為的是可以最適合本單位的需要�。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許�,并監視網絡運行狀態��。目前的防火墻產品主要有堡壘主機、包過濾路由器�、應用層網關(服務器)以及電路層網關�、屏蔽主機防火墻��、雙宿主機等類型���。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段����,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊���,不能防止來自內部變節者和不經心的用戶們帶來的威脅�����,也不能完全防止傳送已感染病毒的軟件或文件����,以及無法防范數據驅動型的攻擊。防火墻處于5層網絡安全體系中的最底層���,屬于網絡層安全技術范疇。作為內部網絡與外部公共網絡之間的第一道屏障����,防火墻是最先受到人們重視的網絡安全產品之一�����。雖然從理論上看���,防火墻處于網絡安全的最底層�����,負責網絡間的安全認證與傳輸����,但隨著網絡安全技術的整體發展和網絡應用的不斷變化�����,現代防火墻技術已經逐步走向網絡層之外的其他安全層次�����,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。此外,還有多種防火墻產品正在朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。
防火墻必須在基于芯片加速的深度內容過濾技術上實現真正的突破,并推出實用化的產品以解決當前的網絡安全難題。隨著算法和芯片技術的發展���,防火墻會更多地參與應用層分析、芯片解決計算加速技術,防火墻必將以軟硬兼施的方案為用戶的應用提供更安全的保障����。而VPN�、IDS/IPS�、防病毒等功能可能以各類加速芯片的形式與防火墻協同工作,形成以芯片技術為主導的全系列硬件型安全網關����。防火墻下一步的發展與中國下一代網絡的建設緊密相關�����,如IPv6網絡��、P2P應用�����、3G、4G網絡等等����。這里特別強調的是防火墻與IPv6��。由于IPv6網絡的新特性,如端到端的連接��、移動IP的處理����、內嵌IPSec、路徑MTU探測等�,給防火墻帶來新的安全挑戰��。防火墻不僅要及時適應IPv6網絡的發展,并解決IPv6引入后帶來的新問題��,同時�,由于IPv6與IPv4網絡,網絡必然會同時存在IPv4的安全問題與IPv6的安全問題,或由此造成新的安全問題�。下一步要考慮的����,不僅僅是更適應于網絡發展的防火墻模型,可能還會包括網絡安全防范與評估方法等。在Internet無所不在的理念下����,防火墻等網絡安全產品也必將站在可信賴應用與計算環境為基礎的角度上設計并解決安全問題����。當前基于不同架構設計實現的防火墻都將面臨巨大的挑戰�����,為此付出的代價也將是不同的。防火墻技術和產品已經相對成熟���,但還存在一定的技術局限性,防火墻仍不能完全滿足用戶的需求��。網絡攻防是一對矛盾��,用戶需求激發技術創新��,網絡與應用也在日新月異,在關鍵處理技術上實現創新��,并對防火墻在各種網絡環境中的實際應用�、穩定性與易用性,以及整體網絡安全解決方案進行研究��,一直會是防火墻技術的重要內容��。因此�����,防火墻技術將持續快速發展,技術突破將必然帶來新的天地�����。
4 結論
計算機網絡安全是在攻擊和防御的技術和力量此消彼長中的一個動態過程����。根據前面的分析,當前的網絡安全具有很多新的特點����,整體的狀況不容樂觀。網絡安全企業和專家應該從這些特點出發��,尋找更好的解決之道����。
第2篇
無論是教學目標的要求,還是社會的發展需要,網絡工程的教學工作都要將學生動手能力以及實際操作能力作為根本的培養目標���,不僅要革新教學理念,更要不斷的引進先進的教學方法,讓學生在虛擬的條件下切實的感受到網絡命令的作用����,從而提高教學效果�。仿真的網絡環境����,具有較低的經濟投入,不僅可以對計算機網絡的參數進行配置�,還可以為學生提供一個操作簡單的實踐環境��,通過仿真器的網絡搭建,造就了完美的仿真軟件���,提供了生動的仿真平臺,使得計算機網絡中的各種算法����。協議以及數據交換的過程能夠更加真實生動的展示在學生面前���,使得抽象難懂的模擬協議變得通俗易懂��,增強了學生的理解能力,獲得更好的應用體驗效果���。
2Ping命令
2.1參數功能
網絡的安全性是整個計算機系統的重要環節,對網絡環境的穩定性有著關鍵的影響,目前常見的網絡系統配備的都是Ping命令�����,這種命令使用的正確與否關系著軟件資源能否被正確識別�、關系著軟件的不足能否得到及時的彌補以及能否及時的排除系統的故障,保證系統的正常運行。在計算機的網絡系統中�,Ping命令主要用來發出或者對接收進來的DOS命令做出響應���,可以是應發出者的要求發送出同等大小的數據包��,也可以根據數據的傳遞與使用判斷主機的位置,進而對操作系統做出判斷,其基本的參數功能便是能夠根據主機與路由器的提示進行網絡運行狀態的檢測����、網絡通達性的測試以及系統的故障檢測與報告�,正是這些參數功能的存在�����,保證了其完成任務效率與質量���,對計算機網絡的構建與發展做出了巨大貢獻�。
2.2功能分析
由于ping命令多功能性����,所以其常常被用來替代專業的網路測試,進而實現對于系統的監控。在進行網絡測試的過程中,ping命令會通過一級ARP命令查看系統的IP�����,如果能夠順利的拼出系統的地址信息�,則表示適配器工作正常,反之則表示網絡出現了故障,同時在網絡故障的條件下���,保證本機主卡的運行狀態;其次,則是查看本地循環的IP地址���,如果不能夠順利進行,則表示本地的網絡出現了故障,本地的IP沒有處于正常的工作狀態;最后�,便是對DNS進行測試,如果在檢測的時候不能夠順利的連接到這臺主機�����,則表示網絡檢測工程可能存在著故障�。在對網絡系統進行檢測的過程中,可能會出現因為網絡環境的差異性診斷工具無法生效的情況�,這就需要從ping命令著手���,對故障進行檢測與排查���。其需要首先保障主機的正常運行��,在確定沒有安全設置的限制條件下,便可以開始使用ping命令進行特殊故障的排查了���,當然首先便是使得ping命令能夠ping通,如果不能夠ping通�����,則表示網卡已經損壞了�����;此時便可以通過設備管理器打開網卡�����,通過鼠標右鍵的方式查看網卡的運行狀態;在網卡正常工作的條件下�,則表示工作站的程序受到了破壞���,以此來對故障進行定位與推斷�����。
3其他的網絡命令
在網絡系統的創建使用過程中�,除卻Ping命令還有較常見的Tracert命令���、ARP命令��、Netstat命令以及SOCKE命令。Tracert或者說跟蹤路由命令是比較實用的跟蹤追蹤程序�,是對IP數據進行訪問的實用方法����;Netstat命令的主要功能便是對路由表��、網絡連接狀態以及網絡接口等基本的信息進行顯示��,并保障早信息傳遞的過程中用戶能夠正常的使用網絡;ARP命令多用于確定物理地址����,看到本機或者其他計算機的緩沖內容��。Socke編程或者開發命令,能夠通過Socket技術實現對于計算機的高水平管理���,作為應用層與通信協議之間相互聯系的中間軟件,其利用一連串的接口來工作�,并通過將設計模式隱藏在接口的后面來適應協議的要求�,并通過C/S模式來進行初始化���,在監聽的同時保障客戶端的連接�����,從而實現網絡在故障檢測的過程中的正常使用���。
4結語
第3篇
在大型的企業網絡中不同的子網各有特點,對于網絡安全防護有不同的等級要求和側重點。因此����,網絡安全域的“同構性簡化”思路就顯得非常適合安徽中煙網絡安全防護的需求�����,下面將具體介紹安徽中煙基于安全域的網絡安全防護體系建設思路。
網絡安全域是使網絡滿足等級保護要求的關鍵技術��,每一個邏輯區域有相同的安全保護需求����,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關系�,而且相同的網絡安全域共享同樣的安全防護手段�。通過建設基于安全域的網絡安全防護體系��,我們可以實現以下的目標:通過對系統進行分區域劃分和防護����,構建起有效的縱深防護體系����;明確各區域的防護重點,有效抵御潛在威脅,降低風險����;保證系統的順暢運行����,保證業務服務的持續��、有效提供�����。
1安全域劃分
由于安徽中煙網絡在網絡的不同層次和區域所關注的角度不同����,因此進行安全域劃分時,必須兼顧網絡的管理和業務屬性,既保證現有業務的正常運行,又要考慮劃分方案是否可行�。在這樣的情況下��,獨立應用任何一種安全域劃分方式都不能實現網絡安全域的合理劃分,需要多種方式綜合應用����,互相取長補短�,根據網絡承載的業務和企業的管理需求,有針對性地選擇合理的安全域劃分方式。
1.1安全域劃分原則
業務保障原則安全域劃分應結合煙草業務系統的現狀����,建立持續保障機制����,能夠更好的保障網絡上承載的業務���。在保證安全的同時�����,還要保障業務的正常運行和運行效率����。結構化原則安全域劃分的粒度可以從系統�����、設備到服務、進程�����、會話等不斷細化�,在進行安全域劃分時應合理把握劃分粒度,只要利于使用�、利于防護���、利于管理即可��,不可過繁或過簡。等級保護原則屬于同一安全域內的系統應互相信任����,即保護需求相同��。建立評估與監控機制,設計防護機制的強度和保護等級����。要做到每個安全域的信息資產價值相近����,具有相同或相近的安全等級����、安全環境、安全策略等�����。生命周期原則安全域的劃分不應只考慮到靜態設計����,還要考慮因需求�����、環境不斷變化而產生的安全域的變化����,所以需考慮到工程化管理�����。
1.2安全域劃分方式
1.2.1安全域劃分模型根據安徽中煙網絡和業務現狀�,安徽中煙提出了如下安全域劃分模型��,將整個網絡劃分為互聯網接口區���、內部網絡接口區�,核心交換區,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯�,不與任何外部網絡直接互聯��。該業務系統中資產價值最高的設備位于本區域,如服務器群����、數據庫以及重要存儲設備�����,外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡����,包括與國家局�,商煙以及分支煙草連接的網絡����?;ヂ摼W接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用���。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。
1.2.2安全域邊界整合1)整合原則邊界整合原則是主要依據分等級保護的原則和同類安全域合并���。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下�,同一業務系統應歸并為一個大的安全域�;次之�����,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域���??缦到y整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合����,以減小邊界和進行防護。最小化:應將與外部����、內部互聯的接口數量最小化����,以便于集中��、重點防護��。2)整合方法為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景�����。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合�,側重于數據業務系統與互聯網��、外部系統間的接口的整合����。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力�,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口���,并且尚不具備傳輸條件整合各接口。
2安全防護策略
2.1安全防護原則
集中防護通過安全域劃分及邊界整合后���,可以形成所謂的“大院”,減少了邊界���,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭���、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備��、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業務系統���、不同的安全子域進行防護,共享其提供的安全服務。分等級防護根據煙草行業信息安全等級保護要求,對不同的數據業務系統�����、不同的安全子域�����,按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護��??v深防護從外部網絡到核心生產域,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系��,對關鍵的信息資產進行有效保護�����。
2.2系統安全防護
為適應安全防護需求�,統一��、規范和提升網絡和業務的安全防護水平�,安徽中煙制定了由安全域劃分和邊界整合�����、設備自身安全�����、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構�。其中��,安全域劃分和邊界整合是防護體系架構的基礎。
2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域�,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署�。針對設備的安全配置���,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導�����。
2.2.2基礎安全技術防護手段業務系統的安全防護應以安全域劃分和邊界整合為基礎�,通過部署防火墻�、入侵檢測�、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護����。在通用手段的基礎上�����,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改、垃圾郵件過濾手段等��。
防火墻部署防火墻要部署在各種互聯邊界之處:
–在互聯網接口區和互聯網的邊界必須部署防火墻���;
–在核心交換區部署防火墻防護互聯網接口區�、內部互聯接口區和核心生產區的邊界;
–在內部互聯接口區和內部網絡的邊界也需部署防火墻���。考慮到內部互聯風險較互聯網低���,內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外����,對于同一安全域內的不同安全子域��,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略�。入侵檢測設備的部署應在互聯網接口區��、內部互聯接口區必須部署入侵檢測探頭,并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下����,也可在核心交換區部署入侵檢測探頭�,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端�����,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理�。同時����,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯網的各類異常流量。
網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:
–在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能�����。
–在內部互聯接口區必須部署日志采集設備�,采集業務系統各設備的操作日志。
2.2.3應用層安全防護數據業務系統應用安全防護主要是防范因業務流程�、協議在設計或實現方面存在的漏洞而發生安全事件�。其安全防護與系統架構�����、業務邏輯及其實現等系統自身的特點密切相關�����。安徽中煙通過參考IAARC模型,提出鑒別和認證、授權與訪問控制���、內容安全、審計、代碼安全五個防護方面。
2.2.4安全域的管理除了實施必要的安全保障措施控制外,加強安全管理也是不可缺少的一個重要環節�����。安全域管理主要包括:從安全域邊界的角度考慮�,應提高維護、加強對邊界的監控,對業務系統進行定期或不定期的風險評估及實施安全加固;從系統的角度考慮�,應規范帳號口令的分配�����,對服務器應嚴格帳號口令管理��,加強補丁的管理等�����;人員安全培訓。
第4篇
隨著信息安全技術的不斷發展深化,單純的層次化方法已經不能適應新的安全形勢���,必須以體系化思想重新定義縱深防御,形成一個縱深的����、動態的安全保障框架�,亦即縱深防御體系�����?���?v深防御體系是一種信息安全防護系統設計方法論�,其基本思想是綜合治理,它以信息安全為中心���,以多層面安全手段為基礎,以流程化管控為抓手���,以貫穿信息系統的生命周期為管理范疇,采用等級化的思想���,最終形成手段縱深、級別縱深�����、流程縱深的防御與保障體系�,以等級化為原則等級保護作為國家信息安全的一項制度,為關系到國計民生的各類重大信息系統的安全防護提供了指導思路�����。等級保護的主體思想在于等級化和差異化���,即為不同等級的保護對象提供合理的防護措施����。縱深防御體系的建設�����,不能是防護設施和防護手段的一味堆砌�����,而是要以等級化為指導思想�����,充分考慮防護目標的等級特征,在防控框架�、控制流程�����、生命周期管理等各個方面,都需要劃分相應的等級��,以等級特征為基礎����,提供合理的防護��。沒有等級標的的防護是盲目的���,不僅浪費大量的人力物力�,而且還會導致安全措施���、手段脫離需求�,造成防護手段不到位。以信息安全為中心信息是業務系統的產物����,是各項業務的最終承載者����。諸多單位��、人員����、系統進行的各項工作�����,其價值都體現在信息上�,可以說信息是業務系統的核心所在�����。因此信息的安全是縱深防御體系的中心���,保障信息安全也是縱深防御體系實施的最終目的。縱深防御體系建設必須圍繞信息安全保障展開����。以多層次安全手段為基礎為實現信息安全����,必須從4個層面加以控制防護:法律、規范、標準����、制度��,安全管理,物理安全,網絡安全,系統安全�,應用安全以及信息安全���。信息安全包括了保護信息的保密性��、完整性、可用性、不可否認性等安全屬性的各類防護措施;應用安全包括計算機硬件���、軟件、數據庫、操作系統安全等����,以提供安全可靠的計算機系統作為保障����。網絡安全包括身份認證��、訪問控制�、防病毒���、數據傳輸的加解密等等����,以提供安全的網絡環境���。物理安全是各類邏輯防護手段的基礎���,物理環境不安全����,其他邏輯防護的安全性也無從談起。這一系列的防護手段����,都需要進行統一的管理��,才能協調一致,才能保證防護的有效性�。而管理的實施和技術方法手段的管理��、部署以及運行管理都需要政策、規程�����、操作和組織架構等方面構成的政策框架來支撐和維護���。這七個層面形成的控制框架是縱深防御體系的基礎���。
以流程化管控為抓手安全防護與管理一定是動態過程����,再穩固的靜態防護措施,最終都會在新型漏洞和威脅下土崩瓦解��。因此�����,縱深防御體系的實施必須要實施流程化管控,其中包括四個階段:防護�、感知���、決策和響應�����,并不斷循環往復。防護是指對網絡設備、業務系統�、信息等采取的各類防護手段���,即按照控制框架實施的防護措施����。感知主要完成對網絡中各類安全事件的監控,包括對網絡空間的網絡行為���、網絡資源狀態、用戶行為���、網絡流量、設備狀態和系統脆弱的感知等�。決策為安全事件的處理提供評判依據�,包括了對防護對象和防護措施的等級劃分和管理��、安全事件的關聯分析���、安全風險評估���、安全事件預警等�。響應則完成對安全事件的處理過程���,包括應急措施����、災難恢復�����、網絡阻斷��、病毒刪除、系統加固等措施。通過流程化管控的不斷循環重復���,及時調整安全防護策略,保證了安全防護系統防護效能的不斷提升。以信息系統的生命周期為管理范疇信息系統的生命周期包括設計�、建設��、運行以及終止四個階段。之所以出現信息系統建設和安全防護系統建設“兩張皮”的情況,主要原因是在信息系統設計過程中��,沒有充分考慮安全防護需求��,導致后期的安全防護手段只能在信息系統的修修補補�,不能起到合理的防護作用���。另外�����,由于日常防護管理只注重系統運行時的管理����,而在系統終止后疏于監管�,由此導致的信息丟失現象也日益嚴重。因此,為避免信息失控,縱深防御體系必須涵蓋信息系統的生命周期全過程�。在設計過程中���,充分進行風險分析,緊密貼合安全防護需求��,設計信息安全防護系統���。在建設階段��,信息系統與安全防護系統同步建設���,避免安全防護系統與信息系統的整體業務需求脫節��。在運行階段,實施安全防護�����,并依據信息系統的新變化����,及時調整安全策略和安全配置���。在信息系統終止階段��,應該具有完善的系統注銷制度和管理規范,保證在系統中殘留的有用信息不外泄,進而從信息系統的整個生命周期保證信息安全��?����?傊?����,縱深防御體系并不是傳統意義上的防護位置的縱深����,也不是網絡協議層次的縱深,而是深人貫徹等級化保護的思想�,在信息系統的整個生命周期�����,采用合理化的防護和管理控制框架,實施不斷循環的流程化管控��,進而形成一體化的��、動態的防護與保障框架�����,提供合理、有效的信息安全保護���。縱深防御體系需要強調人的管理通常情況下��,信息安全系統的實施具有三個層次�����。最低層次是技術手段建設���。在這個階段�,主要以防護手段建設為主���,部署防火墻�����,采用加密傳輸,實施身份認證、授權等等,這些技術手段都以消除某種特定威脅為主要目標,具有很強的局限性。第二層次為安全管理��。經過第一階段的手段建設����,使每一種風險都有相應的措施應對,但是過多的手段帶來的就是管理上的問題。
諸多防護系統的升級��、維護和管理�,成為維護人員的噩夢。各個防護措施間的協調配置也給維護人員提出了很高的挑戰����。保護對象是否安全已不是防護措施是否得當的簡單問題����,維護人員的負責程度���、能力高低成為決定防護措施是否成功的關鍵��,而這些因素是極不穩定的���,迫切需要統一的安全管理規范����、流程、措施來規范系統維護人員的操作��,并建立管理系統來協助維護人員完成各項工作�,確保實現穩定、有效的安全防護�����。第三層次為人的管理��。技術上的問題一定是可以解決的,但人的問題是一個復雜問題,人是信息安全領域最不安全的因素。即便是制定了嚴格的規章制度,建立了全面����、穩定的安全防護體系�����,如果人不遵守這些制度,違規操作或者無意行為���,都可能繞過防護體系。在這種情況下��,整個安全防護系統就像是馬其諾防線一樣形同虛設���。因此���,要實現縱深防御��,必須強調對人員的管理���。規范員工的安全操作行為���,加強員工的安全意識培訓���,提升員工對安全的認識高度����,從意識形態領域提高信息安全防護的強度��。這不僅要求單位個體的努力����,還需要全社會的共同努力�����,為我們的網絡安全提供一個良好的人文環境。
作者:安輝耀 張鵬
第5篇
關鍵詞:安全域 邊界整合 數據業務系統 安全防護
中圖分類號:TP309.2 文獻標識碼:A 文章編號:1007-9416(2013)08-0180-02
0 引言
隨著數據業務快速發展�����,信息化程度不斷提高��,國民經濟對信息系統的依賴不斷增強�����,迫切需要數據業務系統在網絡層面建立清晰的組網結構。同時���,根據國家安全等級保護的要求,需要不斷細化各業務系統的安全防護要求���,落實更多的數據業務等級保護問題。針對數據業務系統規模龐大�、組網復雜的現狀�����,以及向云計算演進的特點,按照等級保護和集中化的要求��,需要對運營商數據業務系統進行安全域的劃分和邊界整合��,明確數據業務系統組網結構�。在此基礎上,進一步提出了數據業務系統安全防護策略���,促進數據業務系統防護水平和安全維護專業化水平的整體提高���。
1 數據業務系統網絡安全面臨的威脅
隨著全球信息化和網絡技術的迅猛發展��,網絡安全問題日益嚴峻��,黑客攻擊日益猖獗,尤其是以下幾個方面的問題引起了人們的廣泛關注�����,給電信信息化安全帶來了新的挑戰����。
(1)黑客攻擊是竊取網站集中存儲信息的重要手段,通過獲取用戶口令����,尋找出網絡缺陷漏洞�����,從而獲取用戶權限,達到控制主機系統的目的��,導致用戶重要信息被竊取�。
(2)隨著移動互聯網智能終端的快速發展,3G和wifi網絡的大量普及�,惡意程序成為黑客攻擊智能終端的一個重要手段��,針對智能終端的攻擊不斷增加,最終將導致重要資源和財產的嚴重損失���。
(3)隨著電子商務的普及,人們現已逐步習慣通過支付寶��、網上銀行或者第三方交易平臺進行交易���,黑客將對金融機構中的信息實施更加專業化和復雜化的惡意攻擊�。
(4)自韓國爆發大規模黑客入侵事件以來���,APT(Advanced Persistent Threat)攻擊更加盛行��,主要典型特征包括魚叉式釣魚郵件���、水坑攻擊與自我毀滅等��,由于APT攻擊具有極強的隱蔽能力和針對性,同時網絡風險與日劇增,傳統的安全防護系統很難抵御黑客的入侵��,這就需要企業和運營商全方位提升防護能力����。
(5)隨著云計算大規模的應用,作為一種新型的計算模式,對系統中的安全運營體系和管理提出了新的挑戰,虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固���,建立一套完整的安全體制。
2 數據業務系統安全域劃分與邊界整合
2.1 安全域劃分的目的
安全域是指在同一系統內根據業務性質、使用主體、安全目標和策略等元素的不同來劃分的網絡邏輯區域,同一區域有相同的安全保護需求�����、安全訪問控制和邊界控制策略�,網絡內部有較高的互信關系。
安全域劃分的目的是清晰網絡層次及邊界,對網絡進行分區����、分等級防護��,根據縱深防護原則,構建整體網絡的防護體系�����,抵御網絡威脅���,保證系統的順暢運行及業務安全����。通過安全域的劃分,可以有利于如下四方面:
(1)降低網絡風險:根據安全域的劃分及邊界整合,明確各安全域邊界的災難抑制點,實施縱深防護策略���,控制網絡的安全風險,保護網絡安全。
(2)更易部署新業務:通過安全域劃分,明確網絡組網層次����,對網絡的安全規劃�����、設計、入網和驗收總做進行指導。需要擴展新的業務時,根據新業務的屬性及安全防護要求�,部署在相應的安全域內����。
(3)IT內控的實效性增強:通過安全域的劃分���,明確各安全域面臨的威脅��,確定其防護等級和防護策略����。另外�����,安全域劃分可以指導安全策略的制定和實施�����,由于同一安全域的防護要求相同�����,更有利于提高安全設備的利用率��,避免重復投資。
(4)有利于安全檢查和評估:通過安全域劃分�����,在每個安全域部署各自的防護策略��,構建整體防護策略體系��,方便運維階段進行全局風險監控,提供檢查審核依據�����。
2.2 安全域劃分
根據安全域的定義�,分析數據業務系統面臨的威脅,確定威脅的類型及不同業務的安全保護等級�,通常將數據業務系統劃分為四類主要的安全域:核心生產區����、內部互聯接口區�、互聯網接口區和核心交換區。
(1)核心生產區:本區域由各業務的應用服務器�、數據庫及存儲設備組成����,與數據業務系統核心交換區直接互聯�,外部網絡不能與該區域直接互聯,也不能通過互聯網直接訪問核心生產區的設備���。
(2)內部互聯接口區:本區域由連接內部系統的互聯基礎設施構成�,主要放置企業內部網絡,如IP專網等連接�,及相關網絡設備��,具體包括與支撐系統、其它業務系統或可信任的第三方互聯的設備����,如網管采集設備����。
(3)核心交換區:負責連接核心生產區、互聯網接口區和內部互聯接口區等安全域����。
(4)互聯網接口區:和互聯網直接連接�,具有實現互聯網與安全域內部區域數據的轉接作用����,主要放置互聯網直接訪問的設備(業務系統門戶)。
2.3 邊界整合
目前����,對于以省為單位��,數據業務機房一般是集中建設的,通常建設一個到兩個數據業務機房��。進行數據業務系統邊界整合前��,首先要確定邊界整合的范圍:至少以相同物理位置的數據業務系統為基本單位設置集中防護節點��,對節點內系統進行整體安全域劃分和邊界整合。若物理位置不同��,但具備傳輸條件的情況下�,可以進一步整合不同集中防護節點的互聯網出口。
對節點內系統邊界整合的基本方法是將各系統的相同類型安全域整合形成大的安全域�,集中設置和防護互聯網出口和內部互聯出口���,集中部署各系統共享的安全防護手段,并通過縱深防護的部署方式,提高數據業務系統的安全防護水平���,實現網絡與信息安全工作“同步規劃、同步建設、同步運行”。
通常數據業務系統邊界整合有兩種方式:集中防護節點內部的邊界整合和跨節點整合互聯網傳輸接口����。
(1)集中防護節點內部的邊界整合
根據數據業務系統邊界整合的基本原則���,物理位置相同的數據業務系統通常設置一個集中防護節點�����。在集中防護節點內部,根據安全域最大化原則,通過部署核心交換設備連接不同系統的相同類型子安全域����,整合形成大的安全域��,集中設置內部互聯出口和互聯網出口。整合后的外部網絡�����、各安全域及其內部的安全子域之間滿足域間互聯安全要求���,整個節點共享入侵檢測��、防火墻等安全防護手段���,實現集中防護�����。
(2)跨節點整合互聯網傳輸接口
在具備傳輸條件的前提下�����,將現有集中防護節點的互聯網出口整合至互備的一個或幾個接口���,多個集中防護節點共享一個互聯網傳輸出口�����。通過核心路由器連接位置不同的集中防護節點,并將網絡中的流量路由到整合后的接口�����。各節點可以保留自己的互聯網接口區,或者進一步將互聯網接口區集中到整合后的接口位置。
在安全域劃分及邊界整合中�����,根據安全域最大化原則�����,多個安全子域會被整合在一個大的安全域內��。同時,根據域間互聯安全要求和最小化策略,這些安全子域之間不能隨意互聯,必須在邊界實施訪問控制策略。
3 數據業務系統的安全防護策略
3.1 安全域邊界的保護原則
(1)集中防護原則:以安全域劃分和邊界整合為基礎,集中部署防火墻�����、入侵檢測���、異常流量檢測和過濾等基礎安全技術防護手段�,多個安全域或子域共享手段提供的防護�;
(2)分等級防護原則:根據《信息系統安全保護等級定級指南》和《信息系統等級保護安全設計技術要求》的指導,確定數據業務業務系統邊界的安全等級��,并部署相對應的安全技術手段�����。對于各安全域邊界的安全防護應按照最高安全等級進行防護�;
(3)縱深防護原則:通過安全域劃分����,在外部網絡和核心生產區之間存在多層安全防護邊界。由于安全域的不同�����,其面臨的安全風險也不同��,為了實現對關鍵設備或系統更高等級防護���,這就需要根據各邊界面臨的安全風險部署不同的安全技術及策略�����。
3.2 安全技術防護部署
對于數據網絡,一般安全防護手段有防火墻��、防病毒系統����、入侵檢測、異常流量檢測和過濾�、網絡安全管控平臺(包含綜合維護接入����、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術��。下面以數據業務系統安全域劃分和邊界整合為基礎,進行安全技術手段的部署。
(1)防火墻部署:防火墻是可以防止網絡中病毒蔓延到局域網的一種防護安全機制,但只限制于外部網絡�,因此防火墻必須部署在互聯網接口區和互聯網的邊界���。同時����,對于重要系統的核心生產區要構成雙重防火墻防護�,需要在核心交換區部署防火墻設備。由于安全域內部互聯風險較低����,可以復用核心交換區的防火墻對內部互聯接口區進行防護����,減少防火墻數量����,提高集中防護程度�����。
(2)入侵檢測設備的部署:入侵檢測主要通過入侵檢測探頭發現網絡的入侵行為,能夠及時對入侵行為采取相應的措施�����。入侵檢測系統中央服務器集中部署在網管網中��,并控制部署在內部互聯接口區和互聯網接口區之間的入侵檢測探頭����,及時發現入侵事件����。同時安全防護要求較高的情況下���,將入侵檢測探頭部署在核心交換區�,通過網絡數據包的分析和判斷,實現各安全子域間的訪問控制�。
(3)防病毒系統的部署:防病毒系統采用分級部署���,對安全域內各運行Windows操作系統的設備必須安裝防病毒客戶端�����,在內部互聯接口子域的內部安全服務區中部署二級防病毒控制服務器,負責節點內的防病毒客戶端。二級服務器由部署在網管網中的防病毒管理中心基于策略實施集中統一管理����。
(4)異常流量的檢測和過濾:為了防御互聯網病毒�、網絡攻擊等引起網絡流量異常���,將異常流量檢測和過濾設備部署在節點互聯網接口子域的互聯網邊界防火墻的外側��,便于安全管理人員排查網絡異常���、維護網絡正常運轉��、保證網絡安全。
(5)網絡安全管控平臺:網絡安全管控平臺前置機接受部署在數據業務系統網管網內的安全管控平臺核心服務器控制,部署在各集中防護節點的內部互聯接口區的安全服務子域中�����,實現統一運維接入控制����,實現集中認證��、授權���、單點登錄及安全審計�。
(6)運行管理維護:安全工作向來三分技術�����、七分管理�����,除了在安全域邊界部署相應的安全技術手段和策略外,日常維護人員還要注重安全管理工作���。一方面,對安全域邊界提高維護質量��,加強邊界監控和系統評估�����;另一方面����,要從系統、人員進行管理����,加強補丁的管理和人員安全培訓工作���,提高安全意識,同時對系統及服務器賬號嚴格管理��,統一分配�。
4 結語
由于通信技術的快速發展, 新業務和新應用系統越來越多�,主機設備數量巨大���,網絡日益復雜����,服務質量要求也越來越高����。通過安全域的劃分,構建一個有效可靠的縱深防護體系��,同時優化了數據業務系統����,提高網絡運維效率,提高IT網絡安全防護等級���,保證系統的順暢運行。
參考文獻
[1]魏亮.電信網絡安全威脅及其需求[J].信息網絡安全���,2007.1.
第6篇
安全域劃分方式
1安全域劃分模型。根據安徽中煙網絡和業務現狀���,安徽中煙提出了如下安全域劃分模型,將整個網絡劃分為互聯網接口區���、內部網絡接口區,核心交換區�����,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯�,不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域�,如服務器群、數據庫以及重要存儲設備�����,外部不能通過互聯網直接訪問該區域內設備�。內部互聯接口區本區域放置的設備和公司內部網絡,包括與國家局,商煙以及分支煙草連接的網絡���。互聯網接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備�����。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用�����。核心交換區負責連接核心生產區���、內部互聯接口區和外部互聯接口區等安全域�。
2安全域邊界整合�。1)整合原則。邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想�,這自然不必多說�����,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業務系統應歸并為一個大的安全域����;次之�,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域���。跨系統整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合���,以減小邊界和進行防護�����。最小化:應將與外部���、內部互聯的接口數量最小化����,以便于集中���、重點防護�����。2)整合方法�。為了指導邊界整合���,安徽中煙提出了兩種邊界整合方法��、適用場景�����。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合,側重于數據業務系統與互聯網、外部系統間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口����。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口��,并且尚不具備傳輸條件整合各接口��。
安全防護策略
1安全防護原則
集中防護����。通過安全域劃分及邊界整合后����,可以形成所謂的“大院”,減少了邊界���,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭�����、異常流量檢測和過濾設備���、網絡安全管控平臺的采集設備����、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施��,對不同業務系統�、不同的安全子域進行防護,共享其提供的安全服務�����。分等級防護���。根據煙草行業信息安全等級保護要求�����,對不同的數據業務系統、不同的安全子域,按照其保護等級進行相應的防護��。對于各系統共享的邊界按“就高不就低”的原則進行防護�?����?v深防護。從外部網絡到核心生產域�����,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系���,對關鍵的信息資產進行有效保護���。
2系統安全防護
為適應安全防護需求��,統一��、規范和提升網絡和業務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合����、設備自身安全�、基礎安全技術防護手段��、安全運行管理平臺四層構成的安全技術防護體系架構����。其中���,安全域劃分和邊界整合是防護體系架構的基礎���。
1)設備自身安全功能和配置��。一旦確定了設備所在的安全域,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導�。
2)基礎安全技術防護手段�。業務系統的安全防護應以安全域劃分和邊界整合為基礎��,通過部署防火墻�、入侵檢測��、防病毒����、異常流量檢測和過濾���、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護����。在通用手段的基礎上,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改��、垃圾郵件過濾手段等���。防火墻部署防火墻要部署在各種互聯邊界之處:在互聯網接口區和互聯網的邊界必須部署防火墻���;在核心交換區部署防火墻防護互聯網接口區�、內部互聯接口區和核心生產區的邊界;在內部互聯接口區和內部網絡的邊界也需部署防火墻。考慮到內部互聯風險較互聯網低����,內部互聯接口區防火墻可復用核心交換區部署的防火墻���。另外,對于同一安全域內的不同安全子域����,可采用路由或交換設備進行隔離和部署訪問控制策略�,或者采用防火墻進行隔離并設置訪問控制策略��。入侵檢測設備的部署應在互聯網接口區�、內部互聯接口區必須部署入侵檢測探頭��,并統一接受網管網集中部署的入侵檢測中央服務器的控制�����。在經濟許可或相應合理要求下�����,也可在核心交換區部署入侵檢測探頭,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理���。同時,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器����。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備����,防范和過濾來自互聯網的各類異常流量�。網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。在內部互聯接口區必須部署日志采集設備��,采集業務系統各設備的操作日志���。
第7篇
【關鍵詞】圖書館;計算機網絡;安全防護
圖書館計算機網絡安全主要就是其網絡系統中包含的硬件��、軟件與相關數據等能夠得到有效的保護����,避免在偶然發生或者惡意的原因對計算機網絡產生破壞�、更改等問題����,使得網絡系統能夠保持正常的運行狀態,保持網絡服務的暢通�,不斷提升圖書館計算機網絡安全等級����,達到網絡信息的最大化的共享���,為讀者提供更好的服務�。
一、高校圖書館計算機網絡實體安全防護
1�、圖書館計算機網絡機房物理環境的安全防護����。
實體安全主要考慮場地����、設備的安全,對實體訪問進行控制���,圖書館計算機網絡實體安全主要指對計算機系統環境、場地�、設備��、載體、人員等采取安全措施���。首先是圖書館的場地安全,指的是中心機房����,它是圖書館運行的關鍵組成部分,對進入機房的工作人員應該實行嚴格的管理,應該對那些非工作人員進行限制���。在具體的中心機房運行中,要制定相關的工作規范���,最大程度的減少非工作人員進入的機會,應該與圖書館的其他功能區域分隔開來��,輔助區應該設置在機房的外面��,形成一道進入機房的關卡�。而且在位置的選擇上也應避免將其建設在潮濕的底層�����,頂層因為容易侵入也不是首選�。如果一個樓層辦公室數量較多�����,機房應設置在一個邊角位置�,在防護與撤離方面會比較方便。另外����,機房內設置的空調設備能夠對其空間內的濕度����、溫度等進行有效的調控����,確保計算機網絡的正常運轉,通常機房內溫度應保持在20攝氏度左右����,相對濕度則應保持在50%左右,同時還要對機房進行防塵與除塵����,增加防靜電地板的鋪設可以使計算機網絡工作不受到靜電的影響�。
2�、圖書館計算機網絡電源接地與防盜防火的安全防護。
計算機網絡的運行離不開電源,圖書館內的計算機需要使用具有保護裝置的不間斷電源工具��,這樣能夠有效的避免出現電源中斷或者電壓瞬變��、沖擊等問題�,在計算機的接地系統中電位的設置應該將參考點定為大地����,接地是零電位,這樣能夠讓計算機的數字電路擁有較為穩定的低電位,為計算機硬件����、數據以及人身的安全提供保障��。另外,在計算機網絡的安全防護中還應該注意防盜與防火的問題,機房應該嚴格設置防盜系統���,對機房所有的門窗進行加固處理,然后通過全場監控系統對機房進行實時的監視,提高機房的防盜等級。對機房設備維護管理的相關制度規范嚴格的遵守與實施,對容易出現火災的隱患部位進行更加細致的檢查,完善防火應急方案��,對相關的工作人員的應急能力進行培訓與提升���。
二����、高校圖書館計算機網絡安全的硬件與軟件防護措施
硬件與軟件共同組成了計算機網絡系統,實現圖書館計算機網絡安全的一個重要方法就是進行計算機網絡的硬件與軟件防護。硬件防護顧名思義就是對計算機網絡系統中的硬件設施實施的一系列的安全防護手段�����,比如CPU����、設備����、緩存等硬件,也可以通過硬件的增加提升計算機的安全防護能力����。硬件防護相比軟件防護來說更加的穩定����、可靠���,也是圖書館計算機防護技術實施中重要的一個環節���,尤其是對于其中那些重要的數據與系統來說�����,需要結合硬件與軟件防護兩種手段����,確保其運行環境的絕對安全,主要的硬件防護手段包括輸入輸出通道管理�����、儲存器保護以及虛擬內存保護等等����。
三����、高校圖書館計算機網絡的互聯網安全防護措施
現代圖書館的運行與互聯網之間存在的密切的關系,比如會使用互聯網進行信息的檢索�����、信息的接收發送等�����,人們也更加習慣使用互聯網進行信息的查詢���,但是互聯網中存在的不安全因素非常多����,因此在使用中應該更加注意對其進行安全防護�。設置防火墻就是比較有效的安全防護措施之一,它是由硬件與軟件設備共同組合形成的安全系統����,會存在于內部網絡與互聯網之間�����,外界的用戶如果沒有經過授權那么就會被防火墻阻止進入內部網絡進行訪問,起到一個安全屏障的作用����。防火墻的設置應該具有數據包過濾���、服務以及網絡地址變換等功能����,一旦出現可疑的情況能夠報警并顯示詳細的信息�,提高了安全防護的效果��。
四�、高校圖書館計算機網絡的病毒防護措施
在防止計算機病毒造成網絡安全危害上�����,除了用戶有積極的防病毒意識外�,比較有效的方法是安裝殺毒軟件��,防病毒軟件可以查殺多種系統環境下的病毒��,有查毒、殺毒范圍廣、能力強的優勢�����。防病毒軟件在運行中還需要進行及時的更新升級��,對不斷出現的不同類型的病毒進行有效的查殺�,并且它還具備實時的監控功能���,計算機網絡在啟動���、運行的整個過程中就都可以得到安全的保護了��。在實際的安全防護工作中���,可以將防病毒軟件的使用與防火墻的設置相結合使用�,可以將殺毒軟件的功能附加到防火墻之中,使其增加防病毒的作用��,實現病毒與圖書館內部網絡的有效隔離���。綜上所述�����,圖書館計算網絡安全防護中包含安全培訓、電磁防護等多種措施,實際的安全工作屬于一項復雜又需要不斷變化的系統工程,計算機網絡安全防護涉及到圖書館網絡建設以及發展的整個過程,是一項需要長期堅持的工作,應該始終對其安全防護進行重視,進行技術更新,確保技術�����、設備等的投入充足��,提升圖書館計算機網絡安全防護的質量�����,為圖書館各項工作的順利開展提供支持。
【參考文獻】
[1]林志軍.圖書館計算機網絡安全與防護措施[J].現代圖書情報技術�,2004(S1)
[2]秦久英.數字圖書館計算機網絡的安全防護技術研究[J].考試周刊����,2015(77)
