欢迎来到天天文库
浏览记录
ID:52932855
大小:248.78 KB
页数:5页
时间:2020-04-02
《舰船设计平台网络安全技术探讨.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、舰船设计平台网络安全技术探讨武汉第二船舶设计研究所武汉430064杨进张明祝风杰摘要本文从物理安全、运行安全、信息安全保密和安全保密管理等方面对网络安全进行了探讨。根据我所舰船设计平台网络安全的基本要求,我们对舰船计算机信息系统进行了分级管理,强化了边界防护,严格了信息输入和输出控制,实施了网络防火墙、漏洞扫描系统、主机监控和审计、入侵侦测等安全防范措施,建设起了较完备的信息安全保障体系。.关键词:网络VLAN信息安全1引言随着信息化进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,信息资源也得到最大程度的共享。
2、但是,紧随信息化发展而来的网络安全问题日渐突出,网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将阻碍信息化发展的进程。鉴于我所是专有的计算机信息网络,它承载很多涉及企业的重要信息,因此,在我所建立可靠的网络安全体系是当务之急。本文针对我所舰船设计平台所实施的网络安全防范措施,着重对网络防火墙、漏洞扫描系统、主机监控和审计等网络安全相关技术进行探讨。2我所网络安全体系的概况我所企业内部网络按照不同的信息安全级别被划分成核心、重点、综合、一般等不同的网络安全区域,各个网络安全区
3、域之间利用防火墙进行受控的连接,整个企业内部网络与Intemet网络在物理上是隔离的。为了方便员工上Intemet网查询资料,我所还建立了hltemet电子阅览室,与所内部网络区域完全物理隔离。我所结合计算机及通讯安全保密方面的实际需求,对照国家信息系统保密安全方面的标准,建立了包含网络防火墙、漏洞扫描系统、主机监控和审计的网络安全防护体系。3网络防火墙网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的重要网络互联设备。它对两个或多个网络之间传
4、输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。常见防火墙的类型主要有两种:包过滤防火墙和代理防火墙。包过滤防火墙又称筛选路由器(screenillgrouter)或网络层防火墙(Ne觚orklevelfillewall),它是对进出内部网络的所有信息进行分析,并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP189和切)P端口号所代表
5、的应用服务协议类型有所不同,故兼容性差。代理(Proxy)防火墙又称为应用层网关级(Application1evelgate、豫y)防火墙,它由两部分组成:代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种,它是把筛选路由器技术和软件代理技术结合在一起,由筛选路由器负责网络的互联,进行严格的数据选择,应用代理则提供应用层服务的控制,代理服务器起到了外部网络向内部网络申请服务时中间转接作用。代理防火墙根据其处理协议的类型可分为FrP网关型防火墙、Telnet网关型防火墙、www网关型防火墙、wAIs网关型防火墙等,这种防火墙的
6、优点在于可进行安全控制,安全性好,但是实现比较困难,对于每一种服务协议必须为其设计一个代理软件模块来进行安全控制。我所选用防火墙产品是北京天融信公司“网络卫士”系列防火墙。“网络卫士”系列防火墙采用了最新的核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层的访问控制。它相对于包过滤和代理防火墙来讲,不但更成功地实现了对应用层的细粒度控制,同时,更有效地保证了防火墙的性能。图1给出了我所网络防火墙布置示意图。统图1网络防火墙布置图我们在重点和综合网络安全区域边界配置了北京天融信公司的千兆级防火墙,用于控制两个网络安全区
7、域的网络访问,并将防火墙的访问控制策略配置为:仅允许HTTP、SMTP和POP3等有限协议的网络包通过防火墙,禁止其他类型协议的网络包通过防火墙;禁止重点网络安全区域和综合网络安全区域之间的计算机相互访问;允许综合网络的计算机访问重点涉密网络中的公共服务器;严格控制上网计算机IP地址,严禁非法IP地址通过防火墙。4漏洞扫描软件伴随着计算机网络技术的不断发展,网络中的许多不安全因素也随之增加,如果不及时消除这些不安全因素,就相当于为黑客敞开了方便之门。应该及时发现网络中的漏洞,定期对计算机系统进行漏洞扫描,找到系统中存在的弱点和漏洞
8、并进行相应的修补,并利用网络安全性能评估系统帮助管理人员来进行相应的网络安全分析。目前我所采用的是北京启明星辰公司的天镜网络漏洞扫描软件,它具有以下特点:a.全面的扫描方法;作为一个全面的网络安全性能分析系统,它对应当前互联网上存在的主要缺陷和漏洞
此文档下载收益归作者所有