《计算机网络专业论文:浅析网络安全规划与设计.docx》由会员分享,可在线阅读,更多相关《计算机网络专业论文:浅析网络安全规划与设计.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第7页 共7页计算机网络专业论文:浅析网络安全规划与设计摘 要:随着网络时代的飞速发展,Intranet日益普及,网络安全问题也日益突出,如何在开放网络环境中保证数据和系统的安全性己经成为众多业内人士关心的问题,并越来越迫切和重要。虽然目前对安全技术的研究也越来越深入,但目前的技术研究重点都放在了某一个单独的安全技术上,却很少考虑如何对各种安全技术加以整合,构建一个完整的网络安全防御系统。关键词: 网络安全;防火墙、病毒防护;入侵检测;RSA认证;存储备份我们在医院HIS系统的信息化建设中通常会考虑网络安全问题。如何规划与设计网
2、络安全必须与实际相结合,因为这样才能保证整个HIS系统不论数据方面的还是网络方面的数据的相对安全。通常情况下网络是通过使用VPN/SSL VPN连接到互联网络,再通过路由器与互联网路由实现连接,再路由接到网络主交换,主交换接到下面的各个客户端或者分支交换。一般情况下我们会在整个网络中设置防火墙、网络病毒防护服务器、入侵检测系统、RSA认证服务器、存储备份系统等综合运用来防卫我们的系统安全。防火墙应当放置在路由器与主交换之间。因为防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目
3、标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁木马病毒。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。网络病毒防护服务器主要是全面保护信息资产严密防范黑客、病毒、木马、间谍软件和蠕虫等攻击。全面您的信息资产,如帐号密码、网络财产、重要文件等。智能病毒分析技术动态仿真反病毒专家系统分析识别出未知病毒后,能够自动提取该病毒的特征值,自动升级本地病
4、毒特征值库,实现对未知病毒捕获、分析、升级的智能化。强大的自我保护机制驱动级安全保护机制,避免自身被病毒破坏而丧失对计算机系统的保护作用。强大的溢出攻击防护能力即使在操作系统漏洞未进行修复的情况下,依然能够有效检测到黑客利用漏洞进行的溢出攻击和入侵,实时保护计算机的安全。避免因为用户因不便安装系统补丁而带来的安全隐患。准确定位攻击源拦截远程攻击时,同步准确记录远程计算机的IP地址,协助用户迅速准确攻击源,并能够提供攻击计算机准确的地理位置,实现攻击源的全球定位。因此应当放置在主交换同级别。网络入侵检测系统应当连接在主交换上,因为入侵检测系统在网络中的主要用于入侵行为检测、入侵追踪定位、网络病毒
5、监控(特别是蠕虫病毒)、拒绝服务攻击发现和追踪、网络行为审计、主机行为审计、网络状态分析等。入侵检测系统在整个安全防御系统中占据重要地位。网络安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制,在这个安全模型中,并非各个部分的重要程度都是等同的。在安全策略的指导下,进行必要的系统防护有积极的意义,但是,无论网络防护得多么牢固,依旧不能说网络是安全的。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测是处在一个核心的地位。在实时监测中,入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。相
6、比较而言,入侵检测系统是动态安全模型中唯一一个全天候运行的系统。利用入侵检测系统可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。RSA认证服务器可以放置在任意的位置,可以放在主交换的位置也可以放置在分支交换机上。一般情况是放在下支交换机上对HIS系统各个客户端的登录的认证,身份认证是网络安全的基础。而目前最常用的身份认证手段就是密码。静态密码的高风险性众所周知,因此,采用动态口令的强认证技术做为身份认证的手段已成为越来越普遍和迫切的选择。RSA强认证原理极为简单,令牌
7、和认证服务器采用相同的算法,这个算法是与时间因素相关联的。令牌里面已经内置了唯一的128位种子文件(初始值),当把该块令牌的种子文件导入到认证服务器的时候,在同一时间,令牌和认证服务器所运算出来的结果是一致的。这样,当用户使用这个令牌进行登录的时候,认证服务器通过比对运算结果即可识别访问者的身份。这就是时间同步的专利技术(RSA是该专利发明者和持有人)。而双因素认证则是指,用所知道的再加上所能拿到的这二个要素组合到一起才能确认合法的身份。RSA的双因素令牌要求使用者在第一次使用令牌登录系统时即设定一个静态PIN码(即所知道的)。以后,这个用户每次登录系统的时候要先输入自己的PIN码(所知道的)
8、再连续输入所看到的令牌码(令牌是所能拿到的)即构成一个完整的双因素口令,这也就是我们通常所说的强认证。使用RSA强认证解决方案可以保护各种需要保护的资源。例如,可根据自身业务发展和IT安全管理需要灵活定义并保护自己的各种敏感资源,以便确保合适的人在合适的时间访问适当的资源。这些资源包括网络设备、防火墙、远程接入与访问(VPN)、无线网络接入、操作系统登录、Windows离线认证、应用系统的保护(Oracle、Web Server等等)、业务系统的登录保护、对网银用户在线交易的身份保护。RSA在身份认证、算法、数字证书、消费者身份认证、安全信息与事件的集中管理、访问控制与单点登录、文件保护等领域
9、有很多非常优秀的解决方案。RSA已成为信息安全领域最值得信赖的名字。存储备份系统,在传统的备份模式下,每台主机都配备专用的存储磁盘或磁带系统,主机中的数据必须备份到位于本地的专用磁带设备或盘阵中。这样,即使一台磁带机(或磁带库)处于空闲状态,另一台主机也不能使用它进行备份工作,磁带资源利用率较低。另外,不同的操作系统平台使用的备份恢复程序一般也不相同,这使得备份工作和对资源的总体管理变得更加复杂。目前数据备份主要方式有:LAN备份、LAN Free备份和SANServer-Free备份三种。LAN备份针对所有存储类型都可以使用,LAN Free备份和SANServer-Free备份只能针对SA
10、N架构的存储。基于LAN备份传统备份需要在每台主机上安装磁带机备份本机系统,采用LAN备份策略,在数据量不是很大时候,可采用集中备份。LAN-Free备份由于数据通过LAN传播,当需要备份的数据量较大,备份时间窗口紧张时,网络容易发生堵塞。SAN Server-Free备份LANFree备份对需要占用备份主机的CPU资源,如果备份过程能够在SAN内部完成,而大量数据流无需流过服务器,则可以极大降低备份操作对生产系统的影响。三种方案中,LAN备份数据量最小,对服务器资源占用最多,成本最低;LANfree备份数据量大一些,对服务器资源占用小一些,成本高一些;SANServer-free备份方案能够
11、在短时间备份大量数据,对服务器资源占用最少,但成本最高。不同的存储类型和存储方式是根据各个HIS系统的实际情况相关的。因此在考虑存储备份系统的时候往往要考虑适用性和实用性。管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时,无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可
12、行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。因此,网络的安全建设是医院HI系统信息化建设过程中重要的一环。综合上述所写,从不知到有知,从被动到主动,从事后到事前,从预警到保障,这样才能使我们的网络做到相对安全。参考文献:1李忍,戴书文.浅谈网络安全问题及防御J.知识经济,2009.(13).2余伟,陈保国,孔陶如.网络安全防火墙技术的研究与应用J.成功(教育),2009.(07).3刘姝,蒋洪亮.论网络安全问题及对策J.时代文学(双月版),2007.(03)4闫俊辉,王琴竹.网络防火墙技术浅析J.太原城市职业技术学院学报,2005.(06).5杨安,王启贵.网络安全技术及应用实例J.江汉石油职工大学学报,2005.(06).6赵世均.主动网络安全的基本问题及实现策略研究J.科技资讯,2009.(22).第 7 页 共 7 页