發布時間:2023-03-24 15:14:34
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
作為應用于網絡安全中的配置技術,VLAN技術自身的系統具有很大程度上的先進性和前衛性。此外針對網絡系統的復雜性特點的原因,這種系統還具備著可靠性的優勢,使之在針對網絡安全的維系過程中起到堅實的保障作用。一經移植進了網絡技術中,就會自主地、邏輯化地將網絡分成多個規模更小的子網,而虛擬局域網的系統由此便可直接轉化為邏輯廣播域的另類功效,較之傳統的局域網具有著縮小廣播范圍、降低寬帶損耗的新增功能,并且可以有效控制廣播風暴的隨時產生,既提供了必要的網絡安全,又提高了網絡速度。此外采用VLAN技術可以對整個網絡實現集中管理,即便網絡的物理結構沒有任何改變,依然可以進行用戶主機與子網之間的物理移動,也起到了減輕網絡系統保護工作的負擔。因此,VLAN系統設計在安全性的基礎上,兼具高效性和減負性的優點。面臨著當今網絡安全技術的相對滯后與體系上的不完善,能起到很好的彌補作用。
2VLAN技術在網絡安全中的廣泛應用
2.1校園網絡安全
因特網技術的飛度發展和在市場上的廣泛普及,使得當今社會中的用戶數量驟然狂增,也使得各種信息資源急劇膨脹與無限制增長。學校較之其他企事業單位無疑需要更安全的網絡設施,然而伴隨著這股網絡熱的興起,傳統的客戶與服務器之間的網絡服務器由于自身的性能瓶頸或單點失效等問題的陸續出現,已經無法滿足客戶在安全方面所需的追求,在校園中的網絡安全尤為如此。所以校園網絡中已經廣泛推廣進了VLAN技術,并在高等院校中,校方已經將其視為院校正規化建設的重要任務之一[2]。如今很多的高端院校在VLAN技術的推廣方面業已初具規模并在網絡安全體系中得到進一步的拓展和探究,更有一些重點大學和高中和中職將這種技術的普及列入了現代化教學工程的重要環節。在現今主要的院校和高等學府中,資源、管理以及服務等要素的布局,數字化、科研管理環境的構建乃至于加強學校內部管理與提供學生各種基礎平臺等各種任務,大多需要網絡設施的功能齊全完善來進行現實中的運作[3]。
2.2企業網絡安全
企業以盈利為主要目的,而既然是盈利,就意味著一些商業機密和企業規則務必需要保守秘密或以內部宣傳的形式傳達給各個員工。而這依然離不開網絡安全系統的全面構建,引進VLAN技術在企業網絡格局中仍然具有龐大的市場。企業網絡中的VLAN技術按照所基于的基礎對象的不同,大致可分為兩大類:即按端口劃分的網絡安全體系以及基于業務需要而劃分的網絡安全體系[4]。但是相同的一點是,兩類網絡安全體系都介入了VLAN技術安全配置,均依據VLAN子網系統的各異,來區分領導、員工、客戶以及非法接入等不同身份。
3VLAN技術在未來網絡應用中的發展趨勢
目前實現于寬帶網絡中的VLAN技術,雖然在基本上已經能夠滿足廣大網絡用戶的起碼需求,但是究其網絡性能、網絡通信優先級控制以及網絡流量控制等環節還有待于進一步的強化。技術系統中含有的一些如VTP技術、STP技術以及基于三層交換的VLAN技術等在VLAN使用中存在著的關于網絡效率的一些瓶頸問題,究其原因主要是IEEE802.1Q、IEEE802.1D協議的不完善所致[5]。但這不必過于悲觀,IEEE正在制定和完善IEEE802.1S和IEEE802.1W來改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab協議,并結合使用RISC處理器或者網絡處理器而研制的吉位VLAN交換機在網絡流量等方面采取了相應的措施,能夠使得VLAN網絡的性能大大提高。IEEE802.1P協議提出了COS標準,也足以有利于優化和完善網絡通信優先級控制機制。
4結論
1.1需精確地評估防火墻的失效狀況
任何軟件都有一定的生命周期,防火墻也有一定的生命周期,我們要正確的評估防火墻的使用效能,一旦防火墻失效,對網絡安全造成的后果無法想象。防火墻使用具有一定的級別,在被外界病毒等侵入時候具有一定的防御,我們在設置防火墻的功能時候要具有一定的科學性,當防火墻受到攻擊時候,能自動啟動防御功能,因此,我們在設置防火墻功能時候,要正確檢測防火墻是否失效功能要開啟,達到防火墻失效狀態正常評估。
1.2正確選擇、科學配置防火墻
防火墻功能的科學配置,是對網絡安全防御的重要保障,防火墻技術是網絡安全技術基于防火墻網絡安全技術的探究文/羅鵬 周哲韞進入新世紀以后,計算機網絡技術發展迅速,尤其Internet的發展應用,計算機網絡安全越來越重要,尤其一些政府部門網絡,科研等機構網絡如被黑客或病毒侵入,后果是非常嚴重的,在許多網絡安全技術應用中,防火墻技術室比較成熟的,本論文是從不同層面闡述防火墻網絡安全技術的應用。摘要中關鍵技術之一,在配置防火墻時候,要正確選擇,科學配置。防火墻技術是計算機網絡技術人才需要專門的培訓與學習,才能進行科學的配置,在配置防火時候具有一定的技巧,在不同環境,不同時期具有一定的應用,因此正確科學的配置防火墻沒有通式,必須在根據環境狀態下進行科學合理的配置,這樣才能使防火墻技術成為網絡安全技術中最后一道保障。
1.3有賴于動態維護
防火墻技術在網絡中應用,不是把防火墻軟件在計算機中安裝以后,進行一些配置以后就完事,管理員要對防火墻實時進行監控,看防火墻是否出現一些異常狀況,管理員還要與廠商經常保持密切聯系,是否有更新,任何在完美事物都有兩面性,要及時更新,彌補防火墻漏洞,防止計算機網絡被更新,因此防火墻技術是一種動態實時更新技術。
1.4搞好規則集的檢測審計工作
網絡安全技術最大的危險是自己,網絡管理員不能出現一點大意,在防火墻技術的應用過程中,要適時進行更新,彌補漏洞,還要定期進行一定的檢測和審計工作,用來評估網絡現在的安全性,以及在未來一段時間網絡的安全性,做好正確的評審工作,是網絡能長時間保持穩定的重要條件,實時檢測,實時維護是網絡安全的基本法則。
2防火墻網絡安全技術的實現方案
2.1設置內部防火墻,編制可靠的安全方案
在網絡安全防范的過程中,內部局域網一定要重視,當局域網中一臺機器出現病毒狀況,可能瞬間整個網絡出現癱瘓狀態,因此利用防火墻技術作為網絡安全的檢測,內部局域網防火墻要進行科學合理的設置,制定一個可行的安全方案,對整個局域網的網絡進行一定的保障。內部防火墻進行一定的分段,每個主機要有標準,但有一個統一的標準,標準時同樣的,這樣對網絡的檢測等有一定的依據,增強了網絡的安全性。
2.2合理設定外部防火墻,防范外網攻擊
經外部防火墻的設定,把內網同外網相分開,可防范外網攻擊行為。外部防火墻通過編制訪問策略,僅已被授權的主機方能訪問內網IP,使外網僅能訪問內網中同業務相關的所需資源。外部防火墻會變換地址,使外網無法掌握內網結構,阻斷了黑客攻擊的目標。外部防火墻的精確設定范圍要在內網和外網之間,防火墻對獲取的數據包加以剖析,把其中合法請求傳導到對應服務主機,拒絕非法訪問。
3防火墻技術的未來發展趨勢及前景
防火墻技術是網絡安全技術發展的必然產物,為不安全的網絡搭建一個安全的網絡平臺,網絡安全是不可預測的,防火墻技術也在日新月異的進行發展,防火墻技術的未來發展是廣泛的,能為網絡安全作出一定的貢獻,下面闡述一下防火墻技術的未來發展趨勢,引領網絡安全技術的發展。
3.1智能化
現在計算機的未來發展是網絡化、智能化,網絡安全問題的發展也比較快,對網絡安全的軟件要求也是越來越高,網絡上的病毒具有不可預見性,對防御病毒的軟件提出一個嶄新的要求,必須具有一定的智能化,就是防火墻自身具有很強的防御功能,不是人為的進行控制,智能化是網絡安全專家對防火墻技術的期盼,也是防火墻技術自身發展的需要,但防火墻技術實現智能化需要一定的時間,需要網絡安全專家不停努力的結果。
3.2擴展性能更佳
計算機網絡的快速發展,點到點客戶的快速發展,現在3G網絡已經向4G網絡發展,對防火墻的擴展型提出更好的要求,軟件技術的發展必須為未來的發展提出更好的要求,其擴展性具有一定發展,使防火墻技術能更好的為網絡安全服務,提高網絡安全服務的本領,減少病毒的入侵,提高網絡安全。
其他安全防范措施內網的網絡安全直接關系到醫院業務能否正常進轉,所以我院的內網計算機是不允許接外部設備的,比如易于感染病毒的U盤,網管人員會在BIOS里把除了鍵盤鼠標等正常使用的設備以外的U口封掉并設置密碼,確保病毒不會從外界侵入。同時,內網設置了詳細的分級權限,不同的用戶看到的和使用的功能不同,不同的醫師用藥和開處方的權限也不同。程序的進入每個用戶可以設置自己的密碼,保證信息不泄露。隨著程序的不斷升級,以后可以應用電子簽名。電子簽名就是通過密碼技術對電子文檔的電子形式的簽名,并非是書面簽名的數字圖像化,它類似于手寫簽名或印章,也可以說它就是電子印章。每個醫生一個電子簽名卡,進入系統程序不僅需要密碼而且要刷卡,開處方和寫病歷后自動寫上醫生的電子簽名,確保數據不被篡改。
天津醫院外網安全建設分析
1硬件防火墻外網是要鏈接到Internet上的,所以網絡安全尤為重要,硬件防火墻是必不可少的。通過硬件防火墻的設置,可以進行包括過濾和狀態檢測,過濾掉一些IP地址和有威脅的程序不進入辦公網絡。硬件防火墻針對病毒入侵的原理,可以做出相應的策略,從源頭上確保網絡安全。
2網絡管理軟件網絡管理軟件提供網絡系統的配置、故障、性能及網絡用戶分布方面的基本管理,也就是說,網絡管理的各種功能最終會體現在網絡管理軟件的各種功能的實現上,軟件是網絡管理的“靈魂”,也是網絡管理系統的核心。
通過網絡管理軟件網管人員可以控制流量,設置不同用戶訪問的網址和使用的應用程序,設置不同時間可以訪問的網址,以及屏蔽掉一些游戲、股票等非工作需要的程序。可以實時監控客戶端的網絡行為,查看是否有非工作內容的操作。定期備份日志,保證辦公網正常有序的工作。
管理制度
要制定嚴格的計算機管理制度,業務科室屏蔽光驅、USB接口等輸入輸出設備,行政后勤科室使用輸入輸出設備時必須先殺毒再使用。全院每臺機器使用固定IP和MAC地址綁定,防止外人使用移動電腦連接內部網絡。優化電腦性能,屏蔽一些重要的操作系統功能和系統文件,防止操作人員誤操作致使系統崩潰,帶來不必要的麻煩。所有服務器、客戶端都必須更新最新的系統補丁,防止病毒、黑客、灰色軟件的侵襲。
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技
術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網作為學校重要的基礎設施,擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題,直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗,對如何加強校園網絡安全作了分析和探討。
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
一、常見的幾種網絡入侵方法
由于計算機網絡的設計初衷是資源共享、分散控制、分組交換,這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡,并將破壞行為迅速地在網絡中傳播。同時,計算機網絡還有著自然社會中所不具有的隱蔽性:無法有效識別網絡用戶的真實身份;由于互聯網上信息以二進制數碼,即數字化的形式存在,所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞,從而導致各種被攻擊的潛在危險層出不窮,這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰,黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法:
1.通過偽裝發動攻擊
利用軟件偽造IP包,把自己偽裝成被信任主機的地址,與目標主機進行會話,一旦攻擊者冒充成功,就可以在目標主機并不知曉的情況下成功實施欺騙或入侵;或者,通過偽造IP地址、路由條目、DNS解析地址,使受攻擊服務器無法辨別這些請求或無法正常響應這些請求,從而造成緩沖區阻塞或死機;或者,通過將局域網中的某臺機器IP地址設置為網關地址,導致網絡中數據包無法正常轉發而使某一網段癱瘓。
2.利用開放端口漏洞發動攻擊
利用操作系統中某些服務開放的端口發動緩沖區溢出攻擊。這主要是由于軟件中邊界條件、函數指針等方面設計不當或缺乏限制,因而造成地址空間錯誤的一種漏洞。利用軟件系統中對某種特定類型的報文或請求沒有處理,導致軟件遇到這種類型的報文時運行出現異常,從而導致軟件崩潰甚至系統崩潰。
3.通過木馬程序進行入侵或發動攻擊
木馬是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點,一旦被成功植入到目標主機中,計算機就成為黑客控制的傀儡主機,黑客成了超級用戶。木馬程序可以被用來收集系統中的重要信息,如口令、賬號、密碼等。此外,黑客可以遠程控制傀儡主機對別的主機發動攻擊,如DDoS攻擊就是大量傀儡主機接到攻擊命令后,同時向被攻擊目標發送大量的服務請求數據包。
4.嗅探器和掃描攻擊
嗅探器是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息,它對網絡安全的威脅來自其被動性和非干擾性,使得網絡嗅探具有很強的隱蔽性,往往讓網絡信息泄密變得不容易被發現。掃描,是指針對系統漏洞,對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會被惡意使用和隱蔽使用,探測他人主機的有用信息,作為實施下一步攻擊的前奏。
為了應對不斷更新的網絡攻擊手段,網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括:防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術,入侵檢測、入侵防
御和漏洞掃描屬主動檢測技術,這些技術領域的研究成果已經成為眾多信息安全產品的基礎。
二、網絡的安全策略分析
早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括:
1.防火墻
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.VPN
VPN(VirtualPrivateNetwork)即虛擬專用網絡,它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接,并保證數據的安全傳輸。為了保障信息的安全,VPN技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現,如在應用層有SSL協議,它廣泛應用于Web瀏覽程序和Web服務器程序,提供對等的身份認證和應用數據的加密;在會話層有Socks協議,在該協議中,客戶程序通過Socks客戶端的1080端口透過防火墻發起連接,建立到Socks服務器的VPN隧道;在網絡層有IPSec協議,它是一種由IETF設計的端到端的確保IP層通信安全的機制,對IP包進行的IPSec處理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)兩種方式。
3.防毒墻
防毒墻是指位于網絡入口處,用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析,但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的,因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作,阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外,管理人員能夠定義分組的安全策略,以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址,以及TCP/UDP端口和協議。
三、網絡檢測技術分析
人們意識到僅僅依靠防護技術是無法擋住所有攻擊,于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有:
1.入侵檢測
入侵檢測系統(IntrusionDetectionSystem,IDS)是用于檢測任何損害或企圖損害系統的保密性、完整性或可用的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充,入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。
2.入侵防御
入侵防御系統(IntrusionPreventionSystem,IPS)則是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術,IPS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IPS部署在網絡的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為IPS就是防火墻加上入侵檢測系統,但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品,它在基于TCP/IP協議的過濾方面表現出色,同時具備網絡地址轉換、服務、流量統計、VPN等功能。
3.漏洞掃描
漏洞掃描技術是一項重要的主動防范安全技術,它主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(Honeypot)系統,它是故意讓人攻擊的目標,引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析,來發現攻擊者的攻擊方法及系統存在的漏洞。
四、結語
盡管傳統的安全技術在保障網絡安全方面發揮了重要作用,但在一個巨大、開放、動態和復雜的互聯網中技術都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產品的檢測數據庫,系統廠商在疲于奔命的修補產品漏洞,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟件只能用于防范計算機病毒,防火墻只能對非法訪問通信進行過濾,而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中,安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應的防御手段,這樣使信息安全工作的復雜度和風險性都難以下降。為了有效地解決日益突出的網絡安全問題,網絡安全研究人員和網絡安全企業也不斷推出新的網絡安全技術和安全產品。
參考文獻:
[1]周碧英:淺析計算機網絡安全技術[J].甘肅科技,2008,24(3):18~19
[2]潘號良:面向基礎設施的網絡安全措施探討[J].軟件導刊,2008,(3):74~75
[3]劉愛國李志梅談:電子商務中的網絡安全管理[J].商場現代化,2007,(499):76~77
關鍵詞:網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。
1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
nbsp;(2)使用安全的密碼策略
。設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
制訂在緊急情況下系統如何盡快恢復的應急措施,使損失減至最小;
1網絡安全風險分析
1.1網絡結構的安全風險分析
電力企業網絡與外網有互連。基于網絡系統的范圍大、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節點。網絡系統中辦公系統及員工主機上都有信息,假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。
1.2操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全。操作系統的安裝以正常工作為目標,一般很少考慮其安全性,因此安裝通常都是以缺省選項進行設置。從安全角度考慮,其表現為裝了很多用不著的服務模塊,開放了很多不必開放的端口,其中可能隱含了安全風險。
1.3應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等。
1.4管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過于簡單,導致很容易破解。責任不清,使用相同的用戶名、口令,導致權限管理混亂,信息泄密。把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員工有的可能造成極大的安全風險。
2網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護計算機網絡信息的安全。網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。以下分別就這兩個方面進行論述。
2.1管理維護措施
1)應建立健全計算機網絡安全管理制度體系,定期對管理制度進行檢查和審定,對存在不足或需要改進的管理制度及時進行修訂。2)使用人員應該了解國家有關法規、方針、政策、標準和規范,并主動貫徹與執行;掌握終端的基本使用常識,了解國家電網公司、省公司及分公司有關管理制度,并嚴格遵守。3)堅持“分區、分級、分域”的總體防護策略,執行網絡安全等級保護制度。將網絡分為內網和外網,內、外網之間實施強邏輯隔離的措施。4)內外網分離,外網由信息職能管理部門統一出口接入互聯網,其他部門和個人不得以其它方式私自接入互聯網,業務管理部門如有任何涉及網絡互聯的需求,應向信息職能管理部門提出網絡互聯的書面申請,并提交相關資料,按規定流程進行審批,嚴禁擅自對外聯網,如果互聯網使用人員發生人動,原來申請的互聯網賬戶必須注銷。5)必須實行實名制,實行“誰使用,誰負責”,通過建立電力企業網絡中確定用戶的身份標識,將網絡用戶與自然人建立起一一對應的關系。6)加強網絡監管人員的信息安全意識,特別是要消除那些影響計算機網絡通信安全的主觀因素。計算機系統網絡管理人員缺乏安全觀念和必備技術,必須進行加強。7)有關部門監管的力度落實相關責任制,對計算機網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現管理的科學化、規范化。8)辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作。因此,建議計算機管理員在每次維護的過程中,可以適當地把故障產生的原因和維護辦法以及注意事項向辦公人員做以講解。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策。這樣,既能提高工作效率,又能降低故障,還能避免重復維護。
2.2技術維護措施
1)操作系統因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新,因此要及時升級并打上最新的系統補丁,嚴防網絡惡意工具和黑客利用漏洞進行入侵。2)按要求安裝防病毒軟件、補丁分發系統、移動存儲介質管理系統等安全管理軟件,進行安全加固,未經許可,不得擅自卸載。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。及時升級防病毒軟件,加強全員防病毒、木馬的意識,不打開、閱讀來歷不明的郵件;要指定專人對網絡和主機進行惡意代碼檢測并做好記錄,定期開展分析;加強防惡意代碼軟件授權使用、惡意代碼庫升級等管理。在信息系統的各個環節采用全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度,有效地防止和抑制病毒的侵害。3)防火墻是用于將信任網絡與非信任網絡隔離的一種技術,它通過單一集中的安全檢查點,強制實施相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。采用防火墻或入侵防護設備(IPS)對內網邊界實施訪問審查和控制,對進出網絡信息內容實施過濾,對應用層常用協議命令進行控制,網關應限制網絡最大流量數及網絡連接數。嚴格撥號訪問控制措施。4)對操作系統和數據庫系統用戶進行身份標識和鑒別,具有登錄失敗處理,限制非法登錄次數,設置連接超時功能;用戶訪問不得采用空賬號和空口令,口令要足夠強健,長度不得少于8位,并定期更換,計算機帳號和口令要嚴格保密,用戶短時離開要啟動帶口令的計算機屏幕保護程序或鎖定計算機,長時間不使用計算機,必須將計算機關機,以防他人非法使用。5)要執行備份管理制度,對重要數據進行備份。加強對數據和介質的管理,規范數據的備份、恢復以及廢棄介質、數據的處理措施。6)對于辦公計算機而言,每天都要在辦公區高頻地收發處理文件,特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下,破壞力極強。可通過批處理程序在開機時把驅動加進去,然后關機時恢復原來設置;或通過組策略設置不自動打開U盤,然后啟用殺毒軟件掃描。
關鍵詞互聯網+醫療網絡安全網絡安全防護案例
0引言
互聯網+醫療健康模式下要求醫院的信息系統功能向外擴展,實現在線預約、掛號、繳費和診療服務。為了實現在線服務的功能,勢必要將醫院局域網與互聯網打通,來進行數據交互,但只有在網絡與安全的建設達標的情況下,才能開展相關業務。同國內一些大型企業比較,醫院的網絡安全建設相對薄弱,這與醫院信息系統的特殊性和信息化的發展歷程有關。最初的網絡建設是為局域網系統提供服務,沒有與外部系統互聯的需求。如今面對越來越開放的服務需求,信息網絡的安全性面臨著極大的挑戰。網絡安全作為信息化建設的基石,如何在現有醫院網絡基礎上實施安全防護,為互聯網醫院需要開展的業務提供高速、可靠的網絡環境,是管理者面臨的又一挑戰。
1醫院網絡安全發展歷程
醫院信息系統發展[1]的不同時期,對網絡安全建設要求不同。
1.1最初的內外網隔離時期
醫院在建設信息系統初期,多數選擇內外網隔離的網絡方案,內網負責承載醫療業務,外網負責承載辦公業務。內網常見有數據庫服務器、文件服務器,外網有郵件服務器和網站服務器等。當時的信息系統多為客戶端/服務器(C/S)架構,信息系統功能局限在局域網內,數據不用穿越防火墻,信息系統架構簡潔,實施與維護方便。網絡上通常采用二層樹狀架構,結構簡單、部署迅速。內外網隔離的方式,可以阻斷全部來自外網的攻擊,將防護重點集中在內網終端上。采用的方法是在服務器與客戶端安裝殺毒軟件。雖然,在這個時期網絡安全風險低,但是面對一波又一波的網絡病毒,如藍色代碼、熊貓燒香、沖擊波、震蕩波等病毒,還是暴露了醫院終端防護水平低、安全建設滯后的問題。
1.2接入專線網絡外聯
醫院的信息系統發展很快,為了方便患者就醫,優化就醫流程,新的應用、功能需求層出不窮。其中,包括醫保實時結算、銀醫結算與醫療數據共享等應用。由于早期完全隔離的網絡使得系統無法與外界交互,這就需要在獨立封閉的網絡中“開孔出氣”。網絡的基礎上,與外界系統交互只通過專線的方式,邊界清晰、業務明確。在這個時期的應用中,院方系統作為請求發起方即客戶端,院內系統不需要對外部系統開放接口或者服務,并且與內網系統聯通的專線網絡屬于“可信”環境。在此基礎上,只需要在前置服務器外聯邊界設置防火墻,阻斷由外向內的所有連接,允許由內向外的請求。
1.3劃分虛擬專網方式接入
隨著醫院信息系統的進一步發展,醫生遠程辦公、分院業務系統交互,以及患者自助查詢、繳費等新需求應運而生,簡單的外聯已經不能滿足新業務開展的要求。此時,就需要進一步對網絡進行開放。遠程辦公可以使用互聯網虛擬專用網絡(VPN)接入,患者檢查結果查詢方式為互聯網接入。與以往不同,這些應用的開展,都是以內網信息系統的數據為最終請求目標。不管數據包如何跳轉,最終需要到達內網服務端。這一時期的服務從面向醫務工作者,擴展到了面向部分就診患者,請求量有所提升。但最根本的轉變在于內網系統面向部分外網客戶端,提供多樣化的服務。雖然,服務對象是特定人群,但是面向互聯網開放了“窗口”,見圖2。不管是通過前置機中轉,還是地址變換、隱藏等手段提供服務,都不能回避互聯網上存在的掃描、攻擊等潛在風險。這類應用一般為非必要醫療業務環節,面對互聯網上的威脅、風險,還可以忍受一定程度上的服務中斷。通過接入物理專線的方式,將醫保中心、銀行及相關衛生主管部門聯通。在相關業務系統外圍增加前置服務器,作為院方與互聯單位的數據中轉站,并負責將相關數據、表格保持同步,將上報數據、業務請求發送至外網服務端。這個時期的網絡防護也較為輕松。因為在原有封閉但在網絡安全方面,是不能允許存在任何非授權訪問和入侵破壞的。
1.4互聯網+醫療背景下的網絡融合
在互聯網+醫療時代背景下,醫院信息系統將達到前所未有的開放程度。醫院將從醫療、公共衛生、家庭醫生簽約、藥品供應保障、醫保結算、醫學教育和科普等方面推動互聯網與醫療健康服務相融合,涵蓋醫療、醫藥、醫保“三醫聯動”諸多方面[2]。醫院還將制訂、完善相關配套政策,加快實現醫療健康信息互通互享,提高醫院管理和便民服務水平[3]。這就需要醫院要將網絡大門打開,將網絡進行融合設計,讓患者可以通過互聯網上的多種方式享受就醫服務。在醫療業務不斷向互聯網開放后,對于系統中斷服務的容忍度基本為零。醫院既要保障服務的敏捷性和持續性,又要保障數據的安全性和保密性,還要防止原有系統被入侵和攻擊行為所破壞。同時,需要從多角度、多層次對系統進行網絡防護。
2網絡安全措施
在已有醫院信息系統(HIS)等系統的情況下,醫院如何進行“開放系統”的防護工作。保護的指導方針是根據國家信息安全等級保護要求,按等保要求系統應具備抗分布式拒絕服務(distributeddenialofservice,DDOS)攻擊、入侵、病毒的防御能力和控制端口、行為等控制能力[4].
2.1流量清洗
在互聯網上眾多的網絡請求中,充斥著大量的無用請求、惡意訪問[5]。如果不對互聯網中的流量進行清洗,將對系統的可用性構成極大威脅。該部分清洗主要是針對DDOS攻擊流量。常見DDOS攻擊類型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。應根據自身情況選擇專用設備或運營商服務進行DDOS攻擊流量清洗。
2.2入侵防御
清洗完的流量中還存在著掃描、嗅探、惡意代碼等威脅,它們通過系統漏洞,繞過防護,對系統實施入侵行為,達到控制主機的目的。一旦入侵成功,造成的后果和損失是巨大的。通過部署入侵防御系統(intrusionpreventionsystem,IPS)對那些被明確判斷為攻擊行為,會對網絡、主機造成危害的惡意行為進行檢測和防御。深入網絡數據內部,查找它所認識的攻擊代碼特征,過濾有害數據流,丟棄有害數據包[6]。基于特征的入侵防御系統無法對高級持續性威脅(advancedpersistentthreat,APT)攻擊進行防護,因此在建設入侵防御系統時,要特別注意該類型的攻擊防護。可增加態勢感知系統輔助IPS,將全網流量威脅可視化,進一步消除0day漏洞隱患。
2.3防病毒
根據國際著名病毒研究機構國際計算機安全聯盟(internationalcomputersecurityassociation,ICSA)的統計,目前通過磁盤傳播的病毒僅占7%,剩下93%的病毒來自網絡。其中,包括Email、網頁、QQ和MSN等傳播渠道。計算機病毒網絡化的趨勢愈加明顯,需要企業部署防毒墻/防病毒網關,以進一步保障網絡的安全。防毒墻/防毒網關能夠檢測進出網絡內部的數據,對HTTP、FTP、SMTP、IMAP等協議的數據進行病毒掃描,一旦發現病毒就會采取相應的手段進行隔離或查殺,在防護病毒方面可起到非常大的作用.
2.4訪問控制
在經過流量清洗、入侵防御、防病毒3道工序處理后,訪問控制系統是主機最“貼身”的一道防線。它是幫助保護服務器,按照個體情況來制定防護策略,精細防護到開幾扇門,允許什么人、什么時間、什么方式訪問主機。通常用硬件防火墻來進行訪問控制[7]。常見防火墻類型有網絡層防火墻、應用層防火墻以及數據庫防火墻,可實現針對來源IP地址、來源端口號、目的IP地址、目的端口號、數據庫語句、應用層指令、速率等屬性進行控制。還有一種特殊的訪問控制系統——“安全隔離與信息交換系統”即網閘[8]。主要功能有安全隔離、協議轉換、內核防護功能。由于網閘在所連接的兩個獨立系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議;不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。網閘設備通常由3部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內、外部處理單元連接,從而創建一個內、外網物理斷開的環境,從物理上隔離、阻斷了具有潛在攻擊可能的連接,使“黑客”無法入侵、無法攻擊、無法破壞。
2.5負載均衡
在面對互聯網中大量的網絡請求時,必須要增加負載均衡設備,擴展網絡設備和服務器的帶寬、吞吐量、數據處理能力,從而提高網絡的靈活性和可用性[9]。負載均衡有多種算法,可以實現基于輪詢、連接數、源IP和端口、響應時間的算法。負載均衡設備增加了應用系統處理能力,不法分子想要攻癱系統的難度將成倍增加。
2.6日志審計與事后分析
日志審計與事后分析非常重要[10],必須將攔截和放行的網絡請求記錄下來。一方面,統計攻擊日志,分析網絡運行風險;另一方面,記錄放行的流量,對各個防護環節進行查漏、補缺,優化防護策略。日志審計越全面,對優化網絡、提升系統服務水平的幫助越大。日志審計的范圍包括:應用系統日志、數據庫日志、操作系統日志、網絡安全防護日志等。還可將日志系統與網絡安全態勢感知系統相結合,使分析結果更全面、更準確。日志存儲時間應大于6個月。
3具體實例
根據以上的防護要求,本文給出了一個內外網融合并進行防護的具體案例。按照重要程度與功能將網絡劃分為多個區域,總體原則:首先是按照應用系統劃分區域;其次是實施嚴格的邊界訪問控制;最后是完善監控、審計等輔助能力建設。由此,形成了包括三級域、二級域、安全管理域、專線接入域、數據交換域、互聯網服務接入域在內的6個主要區域。將醫院最重要的HIS系統、集成平臺、數據倉庫等系統接入在三級域,進行最嚴格的保護;其他業務應用系統放在二級域,網站、VPN、線上業務等放在互聯網服務接入域。邊界分別部署下一代防火墻、Web應用防火墻(webapplicationfirewal,WAF)。防火墻開啟入侵防御、防病毒等防護模塊,只放行應用系統對外提供服務的端口流量,對每個源IP的新建連接數、并發連接數、半開連接數進行限制。WAF針對應用實際情況,開啟對數據庫、中間件、開發語言的防護規則。由于三級域系統業務量大,采用多臺應用服務器并行架構,通過旁掛負載均衡器實現應用引流、負載分擔,保障應用系統處理能力。將應用服務器與數據庫服務器用數據庫防火墻進行隔離、控制,從SQL語句、角色權限等角度對數據進行保護。數據交換域的主要功能為數據中轉與應用,邊界同樣部署下一代防火墻,開啟入侵防御、防病毒等防護模塊,對出入流量進行嚴格管控。當互聯網服務或線上醫療業務需要與HIS等核心系統產生數據請求時,需要通過中轉服務器完成數據中轉功能;當來自低安全級別系統向HIS等核心系統請求服務時,需要通過中轉服務器完成應用功能。這樣,在保證系統互聯互通的同時,解決了不同系統間的信任問題。安全管理區中放置防病毒軟件、堡壘主機、日志審計、態勢感知平臺、認證系統和監控平臺等用于網絡管理的服務器,與業務系統隔離,在邊界嚴格控制此區域系統進出流量。在互聯網出口處,設置有抗DDOS設備、IPS、防毒墻、下一代防火墻、負載均衡器,全方位對互聯網實時流量進行過濾。國家衛生健康委員會、醫保中心、銀行等業務通過物理專線接入至專線接入域,通過前置機與防火墻對這類業務進行訪問控制。總之,通過多種設備和全面的管理,形成一個邊界清晰、管控嚴格、監控全面、審計詳實、可感知態勢的網絡系統。這樣,在快速開展互聯網線上業務的同時,還能夠最大限度地進行網絡防護。
