《新形势下计算机网络安全方案的设计》由会员分享,可在线阅读,更多相关《新形势下计算机网络安全方案的设计(4页珍藏版)》请在金锄头文库上搜索。
1、 新形势下计算机网络安全方案的设计 王小玲【关键词】 计算机;网络安全;方案;设计G633.67A10040463(2018)22009201影响网络安全的因素有很多,维护网络安全的技术、手段也有很多。为了维护网络系统的安全,必须结合网络接入方、用户等的具体需求,将多种安全措施进行整合,建立一套完整的、立体的、多层次的网络安全防御体系。只有设计这样一个全面的网络安全解决方案,才可以有效应对网络安全方面出现的各种问题。下面,笔者结合工作实践谈几点自己的认识。一、桌面安全系统用户的重要信息都是以文件的形式存储在磁盘上的,这样便于用户存取、修改、分发,可以提高办公效率,但同时也会导致用户的信息容易受
2、到攻击,造成泄密。特别是对于移动办公来说更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患的出现。二、病毒防护系统1. 邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件中,能实时扫描并清除隐藏于数据库及电子邮件附件中的病毒。2. 服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可
3、以从单点进行部署、管理和更新。3. 客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,能使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS、登录域脚本、共享安装以外,还支持纯Web的部署方式。4. 集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总是起一个单一管理控制台的作用。简便的安装和
4、分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。三、动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。四、访问控制“防火墙”单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而对网络安全构成了重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域
5、网出入口,实现了这些重要部门的访问控制。五、信息加密、信息完整性校验为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。六、安全审计系统安全审计系统能帮助用户对安全网的安全进行实时监控,及时了解整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。1. 安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其能监视目标主机的人机界面操作、监控R
6、AS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。2. 资源监控系统主要有四类功能。(1)监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分钟截获一次屏幕;用户实时控制屏幕截获的开始和结束。(2)监视键盘:在用户指定的时间段内,截获Host Sensor Program用户的所有键盘输入,用户实时控制键盘截获的开始和结束。(3)监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或切断连接的操作。(4)监测监控网络连接:在用户指定的时间段内,記录所有的网络连接信息,包括TCP,UDP,NetBios等。七、入侵检测系统IDS入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。根据网络流量和保护数据的重要程度,可选择IDS探测器(百兆)配置在内部关键子网的交换机处。 -全文完-
