构建跨区IP专用网络安全防范体系方案研究

摘要:互联网的开放性与通信协议的安全缺陷,加之数据信息存储以及对其访问与处理的网络环境分布性特点,使网络很容易受到的安全攻击,攻击者只需攻击一点,就可能造成网络传输的数据信息泄露或被破坏。可见,单一的网络安全产品或安全技术以及各种安全产品不足以保证网络的安全性。而构建跨区IP专用网络安全防范系统,就能从网络系统的各个不安全环节中找出安全漏洞,并采取相应的措施进行控制,有效地保证了网络信息的安全及系统的正常运行。

关键词:跨区IP专用网络;网络安全防范;网络安全防范方案

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Cross-IP Specific Network Security System

Zheng Haoyu

(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)

Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.

Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.

And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.

Keywords:Cross-IP private network;Network security;Network security program

跨区IP专用网络是内部管理及对外交流的重要平台。但在进行信息资源共享的同时,跨区IP专用网络系统却也处于被病毒攻击侵害的威胁,随时都可能出现信息丢失、数据损坏、系统瘫痪的局面。所以,我们要对跨区IP专用网络的安全的框架体系、安全防范的层次结构进行细致的分析研究,合理的设计设置,提高跨区网络安全防范水平,减少系统与数据的安全风险。

一、跨区IP专用网络安全存在的问题

(一)网络缺陷

IP专用网络不可或缺的TCP/IP协议,没有相应的安全保障机制,而且最初设计因特网时考虑的是局部故障不会影响信息的传输,几乎没有意识到安全问题。因此,在安全可靠性及服务质量等方面它存在不适应性。

(二)系统漏洞

网络系统安全性取决于网络各主机系统的安全性,而各主机系统的安全性又是由操作系统的安全性所决定的。这也是网络容易被人为破坏的不安全因素。

(三)病毒传播

大多数病毒具有传播快,扩散广,难以防范,难于清除彻底等特点。令人防不胜防。

(四)黑客入侵

黑客借助挖掘逻辑漏洞,采用欺骗手段进行信息搜集,寻找薄弱环节和介入机会,迅速窃取到网络用户的身份信息,进而实施对整个网络的入侵和攻击,致使内部信息被盗,甚至机密泄露。

二、跨区IP专用网络安全防范体系设计思路

安全服务、系统单元、结构层次的分项交叉的三维立体的框架结构设计,能使网络安全防范体系更具备科学性和可行性。

(一)体系框架设计思路

框架结构中每个系统单元都要与某个协议层次相对应,并采取多种安全服务以保证其系统单元的安全性;网络平台要有网络节点之间的认证和访问控制;应用平台要有针对用户的认证和访问控制;数据传输要保证完整性和保密性;应用系统要保证可用性和可靠性;要有抗抵赖及审计功能。这样一个在各个系统单元都有对应的安全措施满足其安全需求的信息网络系统,应该是安全的。

(二)体系层次设计思路

作为整体的、全方位的网络安全防范体系,不仅要对横向系统单元进行防范设计,还需对其纵向进行分层次考量。针对不同层次所反映的不同安全问题,根据网络应用现状情况及网络结构,可将安全防范体系的层次划分为物理环境的安全性、操作系统的安全性、网络的安全性、应用的安全性、管理的安全性等。

三、构建跨区IP专用网络安全防范体系方案

(一)安全组件

1.路由器:通过在路由器上安装必要的过滤,滤掉被屏蔽的IP地址与服务协议,并屏蔽存在安全隐患的协议。

2.入侵监测系统:监测网络上的所有包,捕捉有恶意或危险的目标,及时发出警告。

3.防火墙:可以防止“黑客”入侵网络防御体系,限制外部用户进入内部网,并过滤掉可能危及网络的不安全服务,拒绝非法用户进入。

4.物理隔离与信息交换系统:具有比防火墙和入侵检测技术更强的安全性能。对内部网络和不可信网络实行物理隔断,阻止各种已知与未知网络层及操作系统层的攻击。

5.交换机:利用访问控制列表,实现用户以不同要求进行的对数据包源和目的地址和协议以及源和目的端口各项的筛选与过滤。

6.应用系统的认证和授权支持:实行在输入级、对话路径级与事务处理三级无漏洞。使集成的系统具有良好恢复能力,避免系统因受攻击而瘫痪、数据被破坏或丢失。

(二)安全设计

可有效利用和发挥系统平台自身的安全环节,保证系统及数据库的使用安全。

1.身份标识和鉴别:计算机初始时,系统首先会对用户标识的身份及提供的证明依据进行鉴别。

2.访问控制:分“自主访问控制”与“强制访问控制”两种。“自主访问控制”Unix及Windows NT操作系统都使用DAC。“强制访问控制”能防范特洛伊木马,阻止用户滥用权限,具备更高的安全性。

3.审计:安全系统使用审计把包括主题与对象标识、日期和时间、访问权限请求、参考请求结果等活动信息记录下来。

(三)安全机制

采用有针对性的技术,提高系统的安全可控性,以建立高度安全的信息系统。

1.安全审核:通过完善系统基本安全设计,包括安全机制的实现和使用,增强了系统安全性,如设置网络扫描器,对系统运行周期性安全问题进行统计分析,研判针对性方案节省防护投入提高使用功效。

2.信息加密:增设可信系统内部加密存储、跨越不可信系统在可信系统间传输受控信息等机制。考虑建设环境和经费预算控制,结合使用自建CA与第三方CA对专用网络通道进行加密认证,常应用信息加密技术和基于加密与通道技术上的VPN系统。

3.灾难恢复:对重要数据定期进行备份,保证重要数据在系统出现故障时仍能准确无误。

四、结束语

保证跨区IP专用网络安全,需要在采用相应的技术措施的基础上,加强网络安全管理;制定相关的规章制度、使用规程以及应急措施,在提高工作人员的业务能力的同时,增强网络安全防范意识、保密观念与责任心,使网络安全防范体系有效发挥作用;引入安全风险评估体系,定期进行风险评估和检查,对内外部环境变化产生的新安全问题进行快速评估以改进完善安全设计方案,建立专用网络安全的长效机制。

参考文献:

[1]贾金岭.构建跨区IP专用网络安全防范体系的探讨[J].网络与信息.2010,5

[2]徐涛.网络安全防范体系及设计原则分析[J].电脑知识与技术,2009,9

[3]刘宏培,余斌.论网络安全体系下的安全防范技术[J].科技风,2009,13

作者简介:郑浩宇,男;籍贯:浙江诸暨;单位:广西大学计算机与电子信息学院;研究方向:信息处理与计算机通信