安全部署(精选十篇)
安全部署 篇1
一个完整的解决方案, 就和网络安全一样, 需要层层部署。有的供应商善于区分个人数据和企业数据, 有的则在应用管理上更有优势, 因此不能将整个解决方案完全交付给一家供应商负责, 这也是移动端点安全策略的部署所面临的挑战。
如何解决移动终端的部署, 同时允许员工在保护企业数据的安全环境中有效办公, 可参考以下5个重要的注意事项。
一、隐私保护
狮鹫网络公司 (Gryphon Networks) 为客户提供了金融服务行业优秀的解决方案, 该公司的首席执行官杰夫·普塔 (Jeff Fotta) 说:“我们希望实现企业内外部信息、数据共享, 但为了保证企业的完全控制权, 共享的信息或数据无法被保存、转发或移作他用。”
杰夫说:“我们需要处理大量的敏感信息, 如管道、交易、收入和战略方向等, 这些信息都不能让我们的竞争对手看到。我们希望将这些信息提供给我们的员工, 但同时保留员工访问信息的时间和权限, 防止信息落入竞争对手的手中。”
为了做到这点, 狮鹫公司通过调查市面上可了解到的移动安全解决方案, 将合作公司的范围缩小在Brainloop, WatchDox和Content Raven这三个公司之中。关于最后的结果, 杰夫说:“Content Raven公司是市场上最符合我们标准的合作对象。他们利用云计算部署, 能够很容易上手, 而且他们允许将我们的信息保留在基础设施中。也就是说, Conten Raven公司没有擅自将我们的信息迁入云服务器, 我们既最大程度地保证了信息的安全防护, 又能通过他们的解决方案达到公司信息的共享。这是最吸引我们公司的一点。”
杰夫表示选择Content Raven公司作为合作对象, 除了上述原因之外, 还有其他因素, 如处理移动内容的能力、能否支持众多媒体和视频, 以及分析和跟踪能力等。
二、BYOD模式的选择
如今许多企业开始允许员工自带移动设备在企业内部办公, 这些设备包括个人电脑、手机、平板电脑等, 现在更多的是指智能手机或平板电脑这样的移动智能终端设备。携带个人移动设备办公的模式简称BYOD模式。
BYOD模式的选择, 需分析和调查员工偏好, 了解已经购买的设备品牌、型号;定义企业和员工都能接受的底线;BYOD模式应该具体支持什么功能, 采用何种安全策略, 而后基于这个底线, 评估操作系统、硬件和区域差异;开发和整理一个设备准入标准和门槛, 为未来评估新的终端设备做好准备;与员工沟通, 哪些终端设备是被允许使用的, 而哪些不能, 并说明原因, 确保IT团队能够充分了解最新的产品、设备和相关信息。
BYOD模式的选择关系到企业采用何种技术支持。对员工来说, 他们希望企业选择的BYOD模式能支持因办公产生的移动支付行为。比如出差在外, 急需下载企业内部一个关键的演示文稿, 这时他们希望公司能够支付因此产生的数据漫游费用。
有些企业允许员工选择他们想要的任何移动设备办公, 并提供相应补贴, 可这看似灵活的BYOD模式起到的作用可能会适得其反, 企业可能将因此面临技术支持问题和失去批量移动设备的折扣计划。
不过, 这不意味着企业只能采用一种BYOD模式。有时企业处理报告费用的支出会比所有设备及其服务的成本更大, 只要企业销售团队有充分的理由说服企业不必担心各个移动模式带来的成本, 那么企业也能采用多种BYOD模式。
此外, 对于没有需要的员工, 企业可不授予其移动访问, 即使使用的是企业给定的移动设备。
三、成本控制
成本控制体现为:将硬件成本转移到员工身上, 使用一个部分报销或补贴式的模式;通过为使用承担责任的方法, 控制超出范围的费用;建立恰当的话费和流量计划, 并认识因此造成的企业谈判和协商能力的流失;评估员工自带设备平台将如何影响工作效率;改变Helpdesk模式 (在BYOD模式下Helpdesk从过去的一线支持平台变成最后一道支持平台) ;如果法务评估使用个人自带设备责任风险更低, 那么将降低审计和遵循规则的成本评;估税务问题是否受到影响等。
除此之外, 成本的控制还体现在追踪被盗数据上。企业的设备丢失或数据被盗, 意味着机密信息处于风险之中, 企业无法远程删除设备数据或追踪它们的下落, 甚至是花费数十万美元也未必能调查彻底。
四、App设计和管理
设计移动App时, 考虑对应个人终端设备的信任级别;根据终端设备的所有权, 划分App的类别及对谁有效。在开发App过程中, 确保投入资源, 考虑个人终端设备的特点;更新可接受的App使用政策;定义App违规时的强制反应级别, 即消息通知、访问控制、隔离、选择性擦除。
五、有效的身份认证
有效的身份认证对于移动终端的安全性不言而喻, 常见的有:确认和评估个人设备终端常见安全风险;定义补救和纠正措施选项, 如消息通知、访问控制、隔离、选择性擦除;设置阶梯式的策略建立用户和终端设备身份认证;随时谨慎关注安全策略政策的可持续性。
BYOD办公模式为大势所趋, 对企业而言亦是一把双刃剑:在节约设备成本和提高效率的同时, 也使企业网络面临着挑战, 如不断增加的设备、不断丰富的企业应用增加网络资源消耗, 个人移动智能计算和企业公共计算混杂, 网络复杂性不断增强, 尤其是Android平台下的各种恶意软件、直接攻击、伪装安装程序等威胁呈爆发式增长, 给企业的安全和管理带来全新挑战。
学校安全工作部署 篇2
学校的安全工作是学校日常工作的重中之重,为切实保证学校的日常工作开展,给全校师生创造一个良好的工作和学习的良好环境,使教师能够安心工作、学生能够快乐的学习和健康的成长。为此学校根据上级文件精神的具体要求及中心的具体工作安排,结合本校实际情况特制定出如下学校安全工做实施方案。
一、指导思想
安全工作重于泰山,隐患险于明火。安全工作,人人有责。学校安全工作关系到千家万户的幸福于安全,关系教育事业的健康发展,关系到社会的稳定和社会的和谐发展。对此学校绝不存在马虎和侥幸心理。学校要增强政治意识、责任意识、大局意识。要有力的保证广大师生的安全,维护学校的稳定。并充分认识当前安全工作的新形势。克服麻痹思想,牢固树立“安全第一”的理念。切实增强安全工作的的危机感和责任感。结合全国发生的重特大安全事故的教训,深入查找学校安全工作中存在的隐患,深刻分析原因,认真研究整改措施,切实加强学校的安全管理,严防学校各类安全事故的发生。
二、工作目标
加强学校安全教育,增强学生的安全意识,突出重点、狠抓学校安全工作各项错落实。教育全体教师关心爱护学生,杜绝体罚于变相体罚,保证正常的教育教学秩序,避免发生以外伤害事故,确保全体师生高高兴兴上学,安安全全回家,让家长放心,1
让社会满意。
三、学校现状
学校位于镇街道,学校有12个教学班,500余名学生,教师31名,每个教师都是思想觉悟高、政治观念强、事业心强、业务素质高,能够身体力行,关爱学生,堪称学生的楷模,会视生如子,并且每个教师都有一个和谐、幸福、美满的家庭,都想在自己的事业上干出成就,向社会交上一份满意的答卷,护名声如生命,均能从事教育教学工作。目前学校的教学设施均无重大隐患,能够保证教育教学工作正常开展。
四、工作措施
1、成立安全领导小组。
组长车欣
副组长许乾龙查道久陈威
成员全体教师
2、加强学习,提高认识,落实行动。组织教师学习《教师法》、《学生伤害事故处理办法》、《未成年人保护法》《中小学教师职业道德规范》等法律法规,提高教师安全意识。
3、建立健全安全管理制度,确保安全工作有章可循。
4、制定安全管理责任制,实行责任追究制。
(1)、全体教师签定责任状,明确各时段、空间安全责任人和职责。校长对全校安全工作负总责,班主任负责安全管理的具体工作,值日教师负责日常安全管理。
(2)、学校的安全工作要做到“两个结合”:加强安全教育宣传与加强校内安全监管相结合;定期检查与日常管理相结合。
安全教育与宣传方面:开学初开展好“安全教育宣传月”活动;学期中,各班加强安全纪律教育。
(3)、坚持每日安全提醒。
五、场所措施
安全监管方面:对学校相关区域进行固定监管和流动监管。固定监管的区域是:校门、楼梯间、教学楼过道等;流动监管的区域是:操场、篮球架、围墙、单双杠、厕所等场所。
1、值日教师要管理好上学、放学时铁门的开关工作,对可疑人员或其他不宜进入学校的人员、车辆等,严格把关,拒绝放行,并做好出入人员的登记工作。
2、安全领导小组负责进行例行的每月一次的安全隐患检查;每月结束后,进行一次安全工作小结并向全校通报一阶段的安全工作情况和安排布置下一阶段的安全工作任务。
3、安全工作人人有责,学校全体教职工,无论何时、何地,只要发现安全隐患或其他不安全因素,就要立即采取果断措施予以消除,并向学校汇报。
4、学校的大门、校园、操场、饮食区等重点区域将安装视频监控,进行视频监控。
总之,我校将健全制度,规范管理,查找原因,认真总结
3工作,清除隐患,不断完善学校的安全工作制度,严格按制度办事,在不断完善制度、严格落实制度中实现学校持久的安全稳定。
网络安全隔离的部署与实现 篇3
关键词:网络安全;网络安全隔离卡
中图分类号:TP393.08
随着网络的普及,人们的日常生活已经无法离得开网络。网络给大家带来了相当程度的便利,同时也给人们带来了许多的不安全因素。针对于各类的网络安全事件,现对内外网混用提出了严格隔离要求。物理隔离作为一种的主要隔离方法应用在局域网中。
1 锡盟气象网络系统现状
从网络系统结构来讲,可分为:卫星广域网络、单向数据广播网、地面宽带网络、计算机局域网、Internet互联网、本地专用网等。各部分在结构上互为独立,业务应用中相辅相成。
1.1 本地局域网
盟局计算机局域网络结构为星型主从网络结构。在局域网中有专用于文件存取的文件服务器、大型高性能数值天气预报并行计算机系统——神箭100、区域自动气象站中心站服务器、CMAcast卫星数据广播系统、视频会议会商系统、Micaps服务器、华云卫星云图接收系统、国家公共突发事件预警信息发布系统、714CD多普勒天气雷达以及接入网络各用户等。
本地局域网用户群,根据用户需求可分为三种;单内网用户,单外网用户和双网用户。
1.2 互联网接入点
我局现互联网接入点有两个,由两个运营商提供的100兆专线。分别为联通100兆专线和移动100兆专线。根据盟局现局域网结构,联通100兆专线应用在区域自动气象站数据传输上,移动100兆专线应用在普通互联网用户接入上。
2 网络安全隔离
2.1 常用网络安全隔离
网络安全隔离主要采用的方法有:物理隔离、逻辑隔离、安全网闸等。
2.2 网络安全隔离技术要求
(1)由于原有网络系统布线及局内装修等原因,此次工程实施过程中不得改变现有网络拓扑基本结构,暨实现单终端双网线情况下的双网隔离;(2)利用现有网络实现访问互联网终端切换至访问内部局域网时,组成与现有网络系统隔离的另外独立的局域网络;(3)对计算机进行适当的建设,做到内外网终端的区分;桌面一台终端计算机虚拟成两台计算机,双网线分别连接内外网络,实现信息存储、处理、应用的物理隔离;(4)对网络平台进行适当的改造工作,做到内外网分别使用网络交换机;分别采用两条网线,将内网信号和外网信号进行分离,从而实现信息传导过程的物理隔离。
根据网络安全隔离技术要求及单位经济投入至最低,网络安全隔离卡为有效的选择。
2.3 网络安全隔离卡的工作原理
网络安全隔离卡是保护计算机数据安全的一种装置,它把一台普通的计算机分隔成两台虚拟计算机,分别对应内网、外网或专网,使各个网络之间实现物理隔离,从而满足用户对数据安全和获取互联网信息的多重要求。
双网双硬盘物理隔离卡是,在系统中安装两个硬盘,两个硬盘分别安装两个独立的操作系统,通过物理隔离卡来控制分离的网线和硬盘。当一个系统运行时,另外一个系统处于关闭状态。当两个网络进行转换时,可通过软件选择切换。切换时有快速切换和重启切换两种方式。切换过程,也是一个对内存,CPU,显示缓存等各个缓存进行物理清零的过程。以确保内外网信息不会经缓存相互传递。从而达到内外网物理隔离的要求。
2.4 网络安全隔离卡的应用
网络安全隔离卡可分为:双硬盘隔离卡、单硬盘隔离卡、三硬盘三网隔离卡。根据本单位的实际情况我局采用了双网线,双硬盘物理隔离。采用利普双硬盘物理隔离卡,每台计算机只需增加一个硬盘,即可使一台计算机虚拟成两台相对独立的计算机。两个硬盘分别连接两个网络,在不同网络之间实施有效的物理隔离。为了便于管理此次整改以楼层为单位进行部署。
由于单位的计算机购置年限不同,版本型号存在的差异具体选用了PCI和PCI-E两种插槽型的网络安全隔离卡。隔离卡的切换方式有:电源切换和串口数据线切换。电源切换隔离卡是一种切电源线型双硬盘物理隔离卡,它具有记忆功能及开机自动进上次关机时所在的网络系统,它是通过控制硬盘电源通道即电源线来实现内外网的物理隔离,即在任何状态下只有一个硬盘处于供电工作情况。串口切数据线型物理隔离卡,适用于两块硬盘都是串口硬盘,即SATA硬盘,它是通过控制数据通道即串口硬盘数据线来实现内外网的物理隔离,其实现原理是由继电器来控制内外网络和内外网硬盘的转换,以实现内外网的物理隔离。
3 部署防火墙
在外部网络入口部署防火墙系統。按照业务需求通过对防火墙和路由器优化配置,实现网络安全审计。在未来信息网络建设考虑包括硬件在内的网络安全审计系统,对网络设备、应用系统及运行状况进行全面的监测、分析、评估,以保障网络安全运行[1]。整改后网络部署图如下:
4 结束语
我单位局域网计算机约有125台,根据用户的需求除了部分服务器为固定访问内网或外网外,其他所有计算机均做了内外网物理隔离到桌面。其中约有20个用户采用双计算机配置进行内外网隔离,其余用户均使用了网络安全隔离卡进行隔离。
本文通过对本地局域网采用网络安全隔离卡技术,实现内外网隔离,解决了局域网内由于内外网络混用带来的不安全隐患问题。从这个方案来看,物理隔离作为一种高效安全的解决技术,在其应用实施过程中,要考虑到:
(1)物理隔离是物理上的彻底断开,并非逻辑断开,从而提升了安全层次;(2)要考虑到客户端用户的操作,要考虑操作简便。(3)内外网物理隔离后,内网杀毒及病毒库更新需要着重考虑。
参考文献:
[1]袁浩等编.Internet接入·网络安全[M],北京:电子工业出版社,2011(01):432-435.
[2]冯吴,黄治虎.交换机/路由器的配置与管理[M],北京:清华大学出版社,2005:46-49.
[3]中国计算机学会计算机安全专业委员会.信息网络安全保护工作知识手册[S].2002.
[4]万平国.网络隔离与网闸[M],北京:机械工业出版社,2004.
作者简介:娟娟(1980.06-),女,内蒙古锡林郭勒盟人,工程师,硕士,研究方向:信息网络。
安全部署 篇4
8月13日, 北京市副市长张延昆主持召开全市视频会议, 通报天津滨海新区爆炸事故情况, 对全市危险化学品、烟花爆竹和工业企业的安全生产、消防安全和运输安全监管工作进行全面部署。
会议要求, 本市在规定时限内, 所有危险化学品生产经营单位暂停施工改造工作, 停止动火和受限空间等特殊作业, 做好现场安全防护, 确保安全。
张延昆传达了市委书记郭金龙、市长王安顺的批示, 要求全市相关责任单位要认清危险化学品安全管理面临的形势, 切实落实企业主体责任、行业管理和属地监管责任;要严格安全检查和隐患排查, 加大执法检查和处罚力度, 把隐患当事故处理, 事故要处理到位;对于安全条件不达标和隐患整改不到位的企业, 要坚决停产、停业、停用、停运, 按标准整改完成, 经安全评估后才能恢复生产;要加快推进管道专项治理和隐患排查治理, 做好阅兵沿线、主要集结地的安全管理, 加强社会面危险化学品的安全保障, 确保安全生产。
消防安全工作部署方案 篇5
一、工作目标
深入贯彻国务院安委办、省委、省政府关于消防安全专项整治三年行动的工作部署,按照部消防局关于消防安全专项整治三年行动的相关要求,通过三年时间,强化源头治理、系统治理、精准治理,深入推进高层建筑消防安全专项整治工作,有效防范化解重大消防安全风险,全面提升消防信息化管理能力、公民消防安全素质,建立完善从根本上消除高层建筑火灾风险隐患的消防管理责任链条、火灾防控体系、监测预警机制,推动消防安全形势持续向好发展。xxxx年底前,高层建筑消防安全风险明显减少,全民消防安全意识和自防自救能力明显提升,火灾事故得到明显遏制,消防安全形势实现根本好转并保持总体稳定。
二、工作时间
即日起至xxxx年xx月。
三、工作范围及内容
本次工作范围是xx市各县(区)高层建筑。其中高层住宅建筑指的是建筑高度大于xx米的住宅建筑(包括设置商业服务网点的高层住宅建筑);高层公共建筑指的是建筑高度大于xx米的公共建筑(主要包括商场、宾馆、公寓、医院、办公或者集购物、娱乐、餐饮、文化等消费功能于一体的城市综合体等)。
工作内容如下:
(一)建筑外墙外保温材料
高层建筑外墙外保温防护层是否破损开裂、脱落,是否将保温材料完全包覆。
(二)建筑消防设施。
1.室内消火栓和自动喷水灭火系统是否存在供水不足、水压不足等问题。
2.其他建筑消防设施是否存在故障、损坏或瘫痪,是否建立了维护保养制度。
(三)安全疏散设施。
1.是否存在占用、堵塞、封闭疏散通道、安全出口等问题;
2.防火门是否存在损坏或构件缺失等问题;
3.应急照明、疏散指示标志和楼层指示标识的设置位置、数量、照度等是否符合标准。
(四)管道井。
1.电缆井、管道井检查门是否采用丙级防火门并在每层楼板处进行严密封堵,电缆桥架等是否在防火分隔处采用有效措施进行防火封堵。
2.管道井内是否存在堆放杂物、日常维护管理不到位等问题。
(五)电气燃气管理。
是否存在电气线路乱拉乱接或敷设不符合规范等问题。
(六)日常消防安全管理。
1.单位或小区是否明确了消防安全管理机构,是否建立消防安全制度和消防安全操作规程。
2.是否在高层建筑醒目位置悬挂消防安全责任人、楼长姓名及其职责公示牌。
3.单位或小区是否落实消防安全检查巡查并及时整改火灾隐患。
4.每栋高层公共建筑和每个高层住宅小区是否依托社区网格员、保安人员、管理使用单位人员、志愿者等力量建立微型消防站队伍。
5.单位或小区是否定期组织消防安全培训和消防演练。
(七)消防车道和救援场地。
1.消防车道和救援场地是否被机动车辆或其他障碍物占用。消防车道上已有门的,是否符合相关要求且能随时正常开启。
2.消防车道和救援场地与建筑之间是否设置妨碍消防车操作的树木、架空管线等障碍物。
四、工作步骤
(一)自查自纠阶段(即日起至xxxx年x月xx日):
各级消防救援部门依据管辖权限,协调相关部门督促各住宅小区产权人、物业服务企业、高层建筑管理使用单位按照“工作范围及内容”的要求,对每栋高层建筑开展消防安全自查自纠工作并填写《高层建筑消防安全综合整治情况统计表》(附件表x)。
(二)建立清单阶段(xxxx年xx月x日—xxxx年xx月xx日)
各住宅小区产权人、物业服务企业、高层建筑管理使用单位对排查发现的火灾隐患进行分析研判,逐个制定整改计划和措施,逐个落实整改方案、责任和资金,明确整改责任人、整改单位和整改时限,进一步细化填写《高层建筑消防安全综合整治情况统计表》(附件表x)。
(三)监督抽查阶段(即日起至xxxx年xx月xx日)
消防救援部门要联合相关行业部门开展“双随机”高层建筑专项监督抽查工作,在xxxx年xx月底前抽查率达到x%,在抽查过程中,要联合物业管理单位和高层建筑使用单位,对自查自纠中未发现的火灾隐患进行补充完善。同时消防救援部门要对发现的火灾隐患及时下达法律文书督促整改,并依法实施处罚。
(四)整改隐患阶段(即日起至xxxx年xx月xx日)
各住宅小区产权人、物业服务企业、高层建筑管理使用单位要对前期发现的火灾隐患自行整改。对整改难度不大的火灾隐患尽快整改;对一时难以整改的重大火灾隐患,消防救援部门要联合相关部门督促整改责任单位在确保安全的前提下,采取分步实施的方式,逐项消除隐患。xxxx年底前,全市高层建筑消防安全风险明显减少,全民消防安全意识和自防自救能力明显提升,火灾事故得到明显遏制,消防安全形势实现根本好转并保持总体稳定。
五、工作要求
(一)加强组织领导。各地要高度重视,充分认识高层建筑消防安全面临的严峻形势,采取措施,扎实推进综合治理。要加强调度指挥,层层传导压力,切实压实责任。
(二)合力整体推进。各县区人民政府、各有关单位要建立健全信息共享、情况通报、联合查处机制,切实形成执法合力,有效推进高层建筑综合治理工作开展。
国务院部署信息化和信息安全工作 篇6
会议讨论通过《关于大力推进信息化发展和切实保障信息安全的若干意见》,确定了以下重点工作:
(一)实施“宽带中国”工程。加快信息网络宽带化升级,推进城镇光纤到户,实现行政村宽带普及服务。加快推进电信网、广电网、互联网三网融合,培育壮大相关产业和市场。(二)推动信息化和工业化深度融合。重点推动企业信息化水平全面提升,推广节能减排信息技术,增强信息产业核心竞争力,引导电子商务健康发展,推进服务业信息化。(三)加快社会领域信息化。继续深化电子政务应用,加快电子政务服务向街道、社区和农村延伸,建设服务型政府。提高社会管理和城市运行信息化水平,加快推进教育、医疗、就业、社会保障和减灾救灾等民生领域信息化。(四)推进农业农村信息化。重点提高农业生产经营信息化水平,完善农业农村综合信息服务体系。(五)健全安全防护和管理。基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。(六)加快安全能力建设。完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力。
浅谈播出机房安全策略的部署 篇7
就播出而言,以视频服务器为核心并辅之以计算机网络控制的硬盘播出系统在国内各级电视台普及开来。新的播出系统不仅包括传统的信号总控、分控,还增加了节目的数字媒体化(节目上载、收录等)、播出数字媒体资产的管理、播出系统的安全检测等新的内容。与传统的以录像机为主的播出系统相比,硬盘播出系统更为灵活、高效;但由于对计算机网络及控制系统的依赖增强,人为干预的能力大大削弱。鉴于电视播出的“不间断”和“无法弥补”的特殊性,在使用新设备、新技术后,如何继续搞好安全播出工作,充分发挥硬盘播出系统的长处,避免负面效应,是电视技术工作者必须关注的问题。在整个播出系统中设备和人是构成整个系统的两大要素。其中,设备的稳定和正常运行是安全播出的前提,而值班人员的素质则是安全播出的保证。因此我们就从设备和人来简单介绍一下播出系统的安全策略部署。
1 技术策略
技术策略主要针对的是设备安全,包括硬件安全和软件安全。
1.1 硬件安全策略
(1)机房供电的安全
机房供电安全是播控机房安全策略中最基本的保证。播控机房用电必须保证设备用电与照明和动力用电分开,其次还需要配置UPS和发电机,保证外电缺失的时候能正常播出。由于条件有限,我们没有双路供电,也不可能配置双UPS。如果UPS一旦发生故障,将影响整个播出系统,因此我们在UPS的前、后级均设置了一个倒换开关。这样一来,一旦UPS出现故障,我们就可以尽快通过倒换开关切换供电线路恢复播出。当然这个时候,播出将会中断。
(2)时钟系统的安全
时钟基准是播控机房自动控制的基础。我们采用的是GPS-1600时间服务器,该服务器除了可以通过网络给播控设备授时外,还提供了4个模拟逆程时间码输出接口,这样一来还可以给备份的模拟设备(比如台标机)授时。
(3)视频服务器的安全
我台采用硬盘播出系统,系统设置一主一备两个硬盘播出信号,如果主路出现黑场、静帧等故障,可立即切备路播出,同时保留了录像机备播。在系统设计的时候我们就预备了一些基本应急措施,如主、备播出设计,应急播出切换等等。主、备两个通道保证信号畅通、互不交织,以确保需要时相互转换。其次我们制作了一些常备静止画面,如公益广告等内容制成标板字幕,以备随时之需;同时制作了以风光音乐欣赏等内容为主的垫播带,在紧急事态发生时起垫播作用,进行完美过渡。
当然极端情况下,主、备视频服务器都崩溃时,只能尽快采用录像机应急播出,待硬盘播出系统修复后再恢复硬盘播出。
(4)切换台的安全
以前模拟播控系统中切换台承担着全部信号的切换任务,采用的是切换台加应急切换开关的方案,这样系统的瓶颈在应急开关。如今的硬盘播出系统,采用了以主、备矩阵外加切换开关的主控方式,有BYPASS开关,有较好的应急机制。由于BY-PASS信号不带台标,因此在其后串接了一台备台标机(该机具有掉电直通功能)。
(5)录像机的安全
硬盘播出系统投入使用以后,录像机用于播出的时间就很少了,但也不能忽视它的安全。平时仍然要对录像机进行维护保养,开播前要试机,备播磁带就放置在录像机旁,一旦硬盘播出系统瘫痪,随时可以使用录像机进行垫播。
(6)回传信号的监视
电视台播出的节目最终要送到千家万户,中间要经过很多环节。为了监测信号传输质量以及尽快确定链路故障,播出机房设立了回传信号监看,包括模拟有线电视回传和数字电视机顶盒回传。
(7)设备监控
在原来的模拟系统中,切换台上提供有音频信号的音量指示VU表,这样我们的播出人员还会经常注意查看音频信号的音量大小是否合适。随着硬盘播出的使用,传统视、音频信号的传输就变成了文件的传输,传统切换台也变成了播出控制计算机,音频信号的VU表就不存在了,播出人员就只能通过监视器扬声器来进行声音的监听。播出人员对声音大小就缺少了一个客观的参考值,如果是多套节目的同时播出,那对声音的监听就更加显得困难了。
为此我们专门设计了一个简单的LED音频VU表,这个LED音频VU表给我们的播出人员提供了一个很好的监测声音的手段。
(8)备品备件
播出机房要备齐维修工具和常用的备品备件,如视、音频线;转接头;螺丝刀等等。对于机柜关键的跳线位置应设置醒目标识,线缆两端标志清晰、准确,与系统图纸、应急操作预案中的相关描述一致,以备不时之需。
1.2 软件安全策略
软件安全策略主要是定期地进行软件维护,包括自动播出软件、字幕软件、数据库软件、视频服务器软件等,软件维护应当建立必要的维护档案。
(1)自动播出计算机的安全
对于每一台播出计算机,我们都首先进行备份,并且把该备份文件存储在不少于一台的计算机中,同时还把这些备份文件刻成光盘保存。由于我台不是24小时播出,因此每天均对机器进行重启,以减少死机和各种随机错误的发生;每周利用星期四的检修时间对系统进行一次系统整理和垃圾文件清理;每年还进行不少于两次的系统还原,以保证系统其工作稳定。播出系统机器严格与外网隔离。
(2)杀毒软件的安全
我们对系统中的所有主、备机均安装了不同的防病毒软件,并对软件进行定期升级,这样不但可以防止病毒的入侵还可以最大程度地避免由杀毒软件BUG带来的安全隐患。
2 管理策略
信息安全不是单纯的技术问题,“管理与技术并重”是对管理重要性的最好诠释。
(1)制定严格的规章制度
电视播出机房是电视台的心脏,应设立门卫或门禁系统,禁止无关人员随意进出;对机房工作人员应核发出入证,对其他确需进入机房的人员(如参观等),必须要得到机房负责人的同意,有专人负责全程陪同,并对进出人员信息进行备案;安全播出目标管理责任到人、到岗;每周四召开播出部门例会,解决播出传输和日常管理中存在的问题;重要播出保障期领导带班。
(2)值班人员的管理
播控机房的安全最终要由值班员的素质来决定。做好各班的交接工作,认真填写交接班记录及值班日志,发现问题及时向主管领导报告节目播出中发现的问题,并详细填写播出日志;平时通过技术培训等手段督促播出人员加强业务学习,积累经验,提高技术素质和心理素质,培养安全播出意识,提高应急处置能力,熟悉应急处置流程,具备处理简单故障的能力。
(3)应急预案的培训和演练
制定完善的、切实可行的应急预案是安全播出策略中不可或缺的一环,有备才能使真正应急时忙而不乱。我们制定了各项操作相应的操作规程,发生故障情况下的倒机、主备系统切换等应急操作流程图都悬挂在机房的醒目位置,方便播出人员操作。同时还组织播出人员进行应急演练,做到每个人都会处置简单故障。
3 运维策略
运行和维护是电视台正常运作的重要工作,其目的是保证系统中的各个环节随着运行环境的变化始终处于最新的、正确的工作状态。在这就简单介绍一下,不做过多说明了。
(1)运行
运行管理是对系统的运行进行有效控制,记录其运行状态,并对系统的运行情况进行检查。运行措施包括:系统监控、权限管理、安全策略等。
(2)维护
随着技术发展、软件升级、管理调整等因素的变动,电视台始终面临着动态运行和变化。对系统有计划、有组织地进行必要改动,延长系统使用寿命,保证系统中各项业务的正常运行便是维护的任务。
如果运维水平跟不上,再好的设备,再完善的部署,也不可能确保系统的安全。只有不断提高运维水平,才有可能保证设备正常运转,安全部署发挥作用,满足系统高可靠性、高可用性的要求。
4 结束语
播出仅只是整个电视台运行的一个环节,播出系统安全策略的部署不只是单纯的技术工作,而是涉及到方方面面的系统工程。考虑播出安全不能仅仅考虑技术因素,有时也许“非技术”因素的影响要更大些。我们不能片面强调提高工作效率,而应时刻把确保安全可靠放在首位。构建一个安全的播出系统也不是单靠设备的投入或者增加高素质人员就可以实现的,只有在实际工作中不断总结,不断变化,才能制定出适合自己的安全策略。
参考文献
[1]电视台数字化网络化建设白皮书(2006).2007年2月.
基于主动防御的校园网安全部署 篇8
一、校园网所面临的新威胁
在当前的校园网络中, 随着网络技术的应用和发展, 黑客攻击和病毒技术日益泛滥, 方式日趋多样化、自动化, 病毒的传播更快, 危害更大。如各种蠕虫、间谍软件、网络钓鱼等威胁、移动代码结合, 形成复合型威胁, 可以在很短的时间内蔓延整个校园网, 造成大面积断网, 使威胁更加危险和难以抵御。此外, 对校园网的滥用, 在线音乐影视、P2P下载等流量非常大的网络应用占用大量的网络带宽, 使校园网中正常的业务流量无法得到有效保证。而校园网是一个开放的、复杂的网络, 存在很多不确定的因素, 在管理上面临更大的挑战。回顾我院校院园10年来的建设过程主要完成了基础性建设, 如带宽的扩容、多线路的负载均衡、网络节点的增加等。而在网络安全方面却没有引起足够的重视, 一直以来, 在历次网络安全问题出现时处于“头痛医头, 脚痛医脚”的被动防御局面。虽然也逐步部署了安全认证服务、防病毒服务、防火墙、IDS等安全设备, 但设备间各自为政, 不能相互协作, 使用效果并不理想。
二、主动防御安全技术研究
统一威胁管理 (UTM) 通过采用综合分析、分流处理的设计思想, 对各种数据的分析是在一个综合分析引擎中实现, 由综合分析引擎判断出数据的合法性与否, 如果合法则正常流过, 如果非法则交与独立的处理引擎进行处理。采用综合分析引擎进行数据分析比各个安全模块采用独立的分析引擎具有更高的效率和安全性。
流量控制可以把全网网络流量分布情况展现在我们面前。将第七层流量打回第四层, 在流量检测过后, 使用第七层防火墙来阻挡某些应用。并会把在第七层流量过滤, 让其以第四层正常的端口号运行, 帮助你原有的第四层防火墙得以用端口号作最基本的控制。另外, 流量控制系统可以阻挡非标准的IM联机, 可以识别应用程序的精细行为, 针对每个使用者或组给予不同的权限。
蜜罐是一种安全资源, 其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务, 所有进出蜜罐的网络流量都可能预示着一次扫描、攻击和攻陷, 蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。蜜罐技术上逐步发展为诱捕网络, 蜜网构成了一个诱捕网络体系架构, 在这个架构中, 可以包含一个或多个蜜罐, 同时保证了网络的高度可控性, 以及提供多种工具以方便对攻击信息的采集和分析。
三、主动防御安全系统部署
我们在校园网中部署能够捕获攻击者的攻击, 收集攻击数据, 分析和抑制攻击的基于主动策略的安全系统, 结合统一威胁管理、流量控制和蜜罐技术, 相互补充, 进一步提高我院校园网络的防御能力。
1. 外部统一威胁管理设备作为校园网络边界的第一道防线, 将大
部分的入侵行为进行隔离。该设备防火墙采用的策略是:对入境的通信严格控制, 而对出境的通信则按安全策略放行。
2. 内部流量控制设备作为内部流量管理控制设备, 在应用层对校
园网内部的流量进行分析检测, 分析突发的大流量应用、异常流量监测, 对P2P协议进行时间限制, 有效的对非正常教学、办公流量进行阻挡, 在现有带宽下保证网络的安全高效。
3. 蜜网的设置与外部UTM恰巧相反, 即对入境的通信放宽, 以
便收集更多的数据、证据;而对出境的通信则按安全策略严格控制, 防止入侵者利用该系统作为跳板, 对其它系统进行进一步的攻击。为了更进一步收集数据, 在蜜网内部防火墙的内部安装嗅探器, 对进入系统的每一个数据包都做记录。
4. 主动防御管理收集各数据源, 包括UTM阻挡日志、流量阻挡
日志, 蜜罐主机记录日志、嗅探器的数据, 将收集到的数据按照统一的格式进行分类、归纳, 以供分析利用。
5. 将淘汰的网络设备、功能服务器经过虚拟和重定向处理应用到
蜜网的部署中, 由于这些系统和应用都是真实的, 因此在蜜网中发现的漏洞和弱点就是真实存在的, 需要改进的。
四、结束语
通过统一威胁管理、流量控制管理和蜜网的高效联动管理, 网络管理有了新的理念, 可以对数据流的分布做很准确的考察和管理, 实时掌控网络的运行状况, 及时将网络风险进行有效防御, 这种前瞻式主动防御部署, 节省了增加带宽的费用, 解决了网络拥堵问题, 同时实现了更好的网络安全管理。
参考文献
[1]孙知信, 杨加园.基于蜜罐的主动网络安全系统的研究与实现[J].电子与信息学报, 2005, 27 (3) :351-354.
使用EAD快速部署高效安全的网络 篇9
关键词:EAD,网络管理,组网技术
目前, 限于网络管理技术、网络使用者水平等原因, 针对黑客、病毒、蠕虫等的防御体系还是以孤立的单点被动防御为主。从企业病毒泛滥、损失严重的结果来看, 当前的防御方式并不能有效应对病毒和蠕虫的威胁, 存在着被动防御、单点防御、分散管理等不足。解决这些不足, 只有从用户的接入终端进行安全控制, 才能够从源头上防御威胁。H3C的EAD (Endpoint Admission Defense) 方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动, 可以将不符合安全要求的终端限制在"隔离区"内, 防止"危险"终端对网络安全的损害, 避免"易感"终端受病毒、蠕虫的攻击。
1. EAD快速部署简介
EAD提供端到端的安全防护体系, 可以在终端接入层面帮助管理员统一实施企业安全策略, 大幅度提高网络的整体安全。但是在实际的开局过程中所有客户都对客户端的部署不便提出批评。主要原因是EAD安全客户端的部署工作量太大, 不能自动部署。因此需要向客户提供全局ACL功能和802.1x未认证时终端用户IE访问URL重定向功能, 以实现EAD客户端的强制下发功能, 解决目前EAD推广中的客户端部署难题。主要实现如下两个功能:
1) 交换机受限访问。802.1x认证成功之前通过限制终端用户只能访问一个特定的IP地址段或是某一个或几个服务器。
2) 802.1x未认证时终端用户IE访问URL重定向功能。终端用户在未进行802.1x认证前, 使用IE进行网络访问, 交换机会将用户访问的URL重定向到设置好的URL, 这样用户一打开IE就必须进入管理员预设的界面。
通过以上两个功能, EAD可以在部署时要求所有接入网络的终端用户到指定的机器上下载客户端, 并进行安装, 解决了EAD客户端部署困难和工作量大的难题。流程示意图如图1所示:
2. 实现原理
IEEE 802.1X标准协议规定开启了802.1X认证的端口除认证报文外, 其它报文全部丢弃, 端口处于不学习不转发状态, 因此传统的802.1X认证用户不通过认证无法访问任何资源。EAD快速部署功能允许用户可以通过命令行 (dot1x url http://x.x.x.x和dot1x free-ip x.x.x.x x) 来设置可访问的受限网段 (由于该特性会占用ACL资源且资源有限, 最多可设置的网段限定为2个) 。具体流程如下:
1) 使能快速部署功能, 将在所有启用802.1x端口上改变端口状态, 以便DHCP/ARP报文可以上送CPU。
2) 端口接收到DHCP的discover或ARP报文后, 若全局使能了802.1x和EAD快速部署功能, 且端口使能了802.1x, 为了控制用户在未成功认证之前的访问权限, 下发具有以下功能的ACL:允许此MAC的HTTP报文、目的地址为受限IP的报文、DHCP报文、802.1x报文上送, 拒绝此MAC的所有其它报文。通过下发这些ACL, 用户可通过DHCP动态获得IP, 发送HTTP请求报文, 随意访问受限网段内的资源并在重定向到指定URL后下载认证客户端并进行802.1x的协议认证。
3) 当端口收到DHCP的discover或ARP报文后, 还需提取用户的源MAC并下发。
4) 如果是动态获得地址, 用户通过上述ACL的限制可以获得IP地址。
5) 用户可以访问指定的受限IP。如果用户通过HTTP协议访问的地址非指定地址, 将通过TCP仿冒建立一个仿冒连接, 连接建立后向用户发送一个HTTP重定向报文, 让用户访问指定的地址, 借此实现下载客户端的功能。
6) 用户下载客户端后, 通过认证, 认证成功后, 将删除在第二步下发的ACL资源。
7) 用户下线后, 用户的MAC删除。
在第二步中, 配置了可访问的受限网段命令后, 用户的DHCP和ARP报文就可以在已经配置了dot1x的端口上进行上送或者继续转发, 而此功能的实现是依靠底层驱动设置的多个ACL来实现的。如果此时用户发出DHCP或ARP报文后, 没有立刻下载客户端进行认证, 那么将会一直占用这些ACL, 浪费设备的ACL的资源, 所以应该定时清理占用时间过长的用户。否则, 由于设备总的ACL个数资源有限, 而每个待认证用户必须占有多个ACL, 此时若大量用户都处于上面所述的只连接不认证的状态会导致ACL资源不够, 其他用户将无法实现受限访问的功能。
定时清理不认证的用户所占用的ACL是依靠命令行的配置实现, 该命令行配置可以设置定时清理的时间长度, 范围大小为1~1440分钟 (dot1x timer acl-timeout 100) 。当用户配置了ACL定时器配置命令和可访问的受限网段命令后, 用户就可以通过IE浏览器访问指定的URL地址, 从而实现下载客户端并进行认证的功能。如果此时用户一直闲置, 不下载客户端, 或者即使下载了客户端也不进行认证, 再或者根本不访问任何地址, 在上述这些条件下, 如果闲置时间超过了配置的ACL定时器时间, 那么此时这些用户所占有的ACL资源将被删除, 这时如果有新的用户接入设备进行访问则可以获得ACL资源, 并且能够认证成功。
ACL超时定时器的作用范围是针对用户的。如果同一端口上存在多个用户进行接入, 有的没有及时下载客户端进行认证操作, 有的则立即下载客户端进行认证, 则此种情况下, 不论这同一端口上的多个用户是否为同一时间接入, 只要该用户接入后所占用的时间超出ACL定时器的时间, 那么这个用户的ACL资源就被删除。
ACL定时器启动后, 若去使能801.1x, 将删除下发的ACL, 并清除定时器;再使能1x, 若下发ACL的条件满足, 下发ACL, 下发成功后启动定时器。
3. 实验组网
我们以交换机为H3C S3100-26TP-PWR-EI为例进行详细的配置。实验组图拓扑结构图如图2所示。
配置步骤:
1) 在全局和端口视图下dot1x开启认证, 保证用户。
2) 若本交换机支持堆叠, 将要先将堆叠口disable, 如:
undo fabric-port Cascade 1/2/1 enable
undo fabric-port Cascade 1/2/2 enable
3) 先启用dot1x url, 再配置dot1x free-ip
S3100E设备相关配置:
domain default enable cams
dot1x
dot1x url http://192.168.0.145
dot1x free-ip 192.168.0.145 255.255.255.255
radius scheme system
radius scheme cams
server-type extended
primary authentication 192.168.0.198
primary accounting 192.168.0.198
accounting optional
key authentication cams
key accounting cams
user-name-format without-domain
domain cams
scheme radius-scheme cams
domain system
interface Vlan-interface1
ip address 192.168.0.188 255.255.255.0
interface ethernet 1/0/4
dot1x
4. 实验结论与分析
PC客户机没有安装iNode客户端, 将PC接在E1/0/4 (已启用802.1X认证) 接口上, 通过S3100E上接的DHCP server获取IP地址192.168.0.125, PC客户机只能访问192.168.0.145, 不能访问局域网内其他资源。然后在PC客户机的IE游览器里随便输入一个除192.168.0.145以外的其他IP或者域名 (若输入域名, 则需要配置dot1x free-ip域名服务器的IP) 。本实验输入的是http://10.66.13.1。然后交换机发送报文给PC客户机, 将IE重定向到http://192.168.0.145, 这时会弹出相关网页, 通过192.1680.145的网页上的链接下载iNod客户端。正确安装iNode客户端后进行认证, 通过身份认证和安全认证后, S3100E上的重定向ACL被删除, 用户正常上线。
当S3100E交换机收到PC机的dhcp discover/arp报文后, 交换机允许此PC机MAC的HTTP报文、DHCP报文、802.1x报文、目的地址为受限IP的报文上送, 拒绝此PC机MAC的所有其它报文。
首先, PC没有安装iNod客户端, 通过dhcp server获取IP (192.168.0.125/24) 。在IE里输入http://192.168.0.1。
以下为PC客户机与S3100E交换机之间交互快速部署报文的过程:
1) PC机192.168.0.125向10.66.13.1发起TCP连接, 而S3100E交换机防冒10.66.13.1回应相应的tcp握手请求。因此是PC机192.168.0.125和S3100E建立了TCP连接。
2) PC机192.168.0.125向10.66.13.1发的http页面请求, S3100E回应一个HTTP重定向报文给PC机, 告诉PC去访问http://192.168.0.145。
3) 然后PC机192.168.0.125与192.168.0.145之间交互ARP报文。之后PC机192.168.0.125与192.168.0.145之间建立TCP连接。
4) 当TCP连接建立好后PC机192.168.0.125直接在192168.0.145机器的WEB页面上下载客户端。
5) PC机安装好客户端后进行普通的802.1X认证及EAD认证。
6) 认证通过后, 交换机将最开始下发的针对PC机的特殊ACL删除。
5. 使用限制
目前支持快速部署的设备包括:S3100EI、S5100EI、S3600、S5600、S6500;后续支持该特性的设备有:S3610、S5510、S5500EI/SI。
如果设备处于堆叠状态或者启动了802.1x的DHCP-lanch功能, 则此时不能进行可访问的受限网段命令的配置, 会提示错误。
如果设备当前已经配置了可访问的受限网段命令, 则此时再配置802.1x的DHCP-lanch功能或者使能堆叠端口, 建立堆叠都不能成功, 会提示错误。
用户可以通过命令行来设置可访问的受限网段, 由于会占用ACL资源, ACL资源有限, 最多可设置的网段为2个。
6. 结束语
作为一种新兴的精细化管理安全防御体系, H3C EAD终端准入解决方案从终端准入控制入手, 整合了防病毒软件等单点安全产品, 可以大幅度帮助网络管理部门提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力。并且在准入认证方面, EAD解决方案具有广泛的适应性, 不仅支持802.1x、L2TP、Portal等多种认证方式, 而且系统认证模式也十分灵活, 可以按照网络管理员的要求区别对待不同身份的用户, 定制不同的安全检查和隔离级别。合理的使用EAD使网络管理工作轻松完成, 使网络软故障大大的降低, 大大提高了用户对网络的使用率。
参考文献
[1].辛颖秀.基于校园网"端点准入防御 (EAD) "的应用与研究.中国海洋大学.2006;
浅析网络安全及防火墙部署 篇10
网络安全技术有以下特点:第一,网络安全来源于安全策略与技术的多样化,第二,网络的安全机制与技术不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术。它是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全,加强网络访问控制,防止外部网络用户以非法手段进入内部网络,保护内部网络操作环境的互联设备。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是被保护网块外部的威胁。
2. 防火墙的部署及类型
网络防火墙可对两个或多个网络之间传输的数据包按照一定的安全策略实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。该技术最适合在企业专网中使用,特别是在企业专网与公共网络互连时使用。所以首先应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵。如果公司内部网络规模较大,并且设置有虚拟局域网 (VLAN) ,则应该在各个VLAN之间设置防火墙。通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网 (VPN) 。总之,防火墙部署的基本原则是:只要有恶意侵入的可能, 无论是内部网络还是与外部公网的连接处, 都应该安装防火墙。
根据防火墙所采用的技术不同可分为四种基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。但包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准,它允许具有私有IP地址的内部网络访问因特网,还意味着用户不需要为其网络中每一台机器取得注册的IP地址。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
代理型防火墙也可以被称为代理服务器,代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流,它的安全性要高于包过滤型产品,并已经开始向应用层发展。其特点是将所有跨越防火墙的网络通讯链路分为二段,外部计算机的网络链路只能到达代理服务器,实现了"防火墙"内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数据转发器的功能。代理服务器是"防火墙"技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显著增强了网络的安全性能,同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。其缺点是需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务具有相当的工作量,因此通常需要专用的硬件 (即工作站) 来承担。
由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。但监测型防火墙技术的实现成本较高,也不易管理,基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。
3. 防火墙的选择标准
首先,其总拥有成本 (TCO) 不应该超过受保护网络系统可能遭受最大损失的成本。并且在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本,其中人员的培训和日常维护费用通常会占据较大的比例。另外,可扩充性也是一个重要指标。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
4、结束语
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
摘要:网络安全技术是一项十分复杂的系统工程, 其中网络防火墙技术是最先受到人们重视的网络安全技术。本文论述了网络防火墙技术的分类、部署及选择标准。
关键词:网络安全,防火墙,选择标准
参考文献
[1]我们的防火墙李永刚编著广西师范大学出版社
相关文章:
虚拟机部署01-09
浅谈环境化学污染事故应急监测01-09
人身保险合同受益人论文01-09
地质灾害隐患监测点应急预案01-09
环境应急监测仪器管理论文01-09
统一部署01-09
项目部署计划01-09
工作总体部署01-09
部署方法01-09
战略部署01-09