返回
企业的网络深度防御体系构建

企业的网络深度防御体系构建

ID:28363554

大小:107.00 KB

页数:9页

时间:2018-12-09

企业的网络深度防御体系构建_第1页
企业的网络深度防御体系构建_第2页
企业的网络深度防御体系构建_第3页
企业的网络深度防御体系构建_第4页
企业的网络深度防御体系构建_第5页
资源描述:

《企业的网络深度防御体系构建》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、企业的网络深度防御体系构建郎静宏航天科技集团529厂摘要:本文主要关注了企业网络深度防御体系的构建问题。特别针对航天科技集团529厂正在逐渐完善的网络防御体系技术做出了详细分析与阐述,其中包括网络深度防御体系、网络安全域、安全体系的构建等多方面内容。关键词:网络 防御体系安全体系 安全域1、引言随着529厂计算机系统软件、硬件的不断升级,产品多样化的出现,网络的扩充,以及外部病毒的泛滥,黑客活动的无目的、无组织性,使得网络安全变的越来越复杂。曾经为529厂人员服务的中小型网络现在发展为连接覆盖五院的互联网络,且规模还

2、在日益扩大。对于529厂多个车间技术室来说,日常工作中对网络的依赖性、对数据的保密程度等现实情况已经成为日益关注的问题。维护529厂企业网络资源的完整性、一致性、安全性和可靠性成为一件艰巨的任务,实现这个目标的首要步骤是使用网络段和访问控制机制。2、建立深度防御2.1深度防御体系深度防御的含义就是在层防御的基础上提供更深一层的保护,增加网络的安全性。它在攻击者和企业的信息资源之间建立多层屏障,攻击者越想深入系统,他面临的困难越大。这些屏障阻止了攻击者对系统重要资源的攻击,同时也防止了攻击者对网络系统的侦察。此外,深度

3、防御策略为入侵检测系统(IDS)、入侵检测系统(IPS)的实施提供自然的区域。在529厂网络环境中,利用Cisco4506交换设备中提供的访问控制机制,来实现网络深度安全防御。虽然对于529厂的信息系统安全体系来说,不会纯粹的依靠VLAN和访问控制列表,但是这些方法作为内部控制来讲还是有价值的。关键问题是要根据企业的实际情况来实施这些机制。2.2建立深度防御体系依靠VLAN和访问控制列表是深度防御体系的基础,为了实施网络访问控制,必须确定企业安全区域的界限,每个网络安全区域共享相同的安全策略。不能仅在网络边界制定安全

4、策略。网络至少包括边界、网络、主机层三层概念。2.2.1网络边界从边界的角度考虑,边界是内部网络与外部网络之间看不见的围墙,它的安全是建立在防止未经许可的攻击和内容进来,而且在边界就要防范病毒的侵入。网络需要安全边界,需要网络安全边界控制产品来阻止非法的访问和入侵。防火墙作为一种边界访问控制类产品,是一种技术较为成熟、应用广泛的网络安全产品,防火墙的安全性来自于规则的完备性和有效性,是一种逻辑隔离产品。通过防火墙的安全规则和路由器的访问控制来保障网络的安全性是目前529厂采用的边界防范技术。防火墙对于保护企业内部网络

5、安全起到了一定的作用,但将所有的安全性全部依赖于防火墙是非常危险的。为保护涉密网络的安全,国家有关部门规定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。网络安全隔离系统是目前网络安全问题的热点,它不同于利用防火墙技术的“逻辑隔离”,独特的硬件设计使连接的双网不存在任何形式的网络层“连接”,可以有效防止已知和未知的基于网络层的攻击,这在以逻辑隔离技术为基础的防火墙上是做不到的。同时,它利用特殊的硬件平台,进行应用层数据的交换,又不能称为严格意义上的“物理隔离”。

6、“网络安全隔离”的定义,一方面有别于“物理隔离”概念,同时又强调了其在“网络层”实现硬件隔离技术的本质。网络安全隔离和信息交换技术兼顾了网络的安全性和网络的可用性,符合“适度安全”的原则。目前,529厂访问Internet的方式有两种,一种是通过技术四室的宽带接入,另一种是零散的拨号访问方式。拨号访问的不易管理和安全隐患是529厂网络安全问题之一,网络安全隔离系统可以较为有效的屏蔽掉这一隐患。2.2.2网络传输层从整个网络传输层来看,网络传输层实际上是内部的整个系统,在网络传输过程中有很多像是通过闭路电视、网络流量进

7、行分析,我们要防范内部一些网络漏洞,要探索漏洞,规范、监测网络行为。2.2.3网络主机层主机层也是最重要的一层,网络中的核心资源是最重要的,因此需要对核心层进行加固,即使有病毒进来,即使有黑客入侵,即使有人利用网络漏洞进行破坏,我们也可以将损失减到最低的程度,这就是主机层的安全,我们把这种安全定义为主动的安全。也就是说,我们不能百分之百地拦住黑客、病毒的入侵,但万一有病毒爆发就需要有技术查杀病毒。因此,深层防御体系所倡导的就是“主动防护”的概念。入侵检测系统被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情

8、况下对网络进行监听,作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。入侵检测是一门综合性技术,只有通过不断改进和完善技术才能更好地协助网络进行安全防御。入侵检测系统(IDS)配合入侵防御系统(IPS)和入侵管理系统(IMS)才能将今后529厂网络安全检测、防御和管

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。