技術(shù)頻道

娓娓工業(yè)
您現(xiàn)在的位置: 中國(guó)傳動(dòng)網(wǎng) > 技術(shù)頻道 > 應(yīng)用方案 > 特種計(jì)算機(jī)在網(wǎng)絡(luò)安全上的應(yīng)用

特種計(jì)算機(jī)在網(wǎng)絡(luò)安全上的應(yīng)用

時(shí)間:2008-09-17 10:30:00來(lái)源:fenghy

導(dǎo)語(yǔ):?本文從網(wǎng)絡(luò)互連七層協(xié)議、企業(yè)網(wǎng)的分層和網(wǎng)絡(luò)安全管理體系三個(gè)方面來(lái)闡述企業(yè)網(wǎng)絡(luò)的安全性。并以具體的相關(guān)產(chǎn)品為例來(lái)闡述如何構(gòu)建一個(gè)安全的企業(yè)網(wǎng)絡(luò)。
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,基于寬帶企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)在社會(huì)經(jīng)濟(jì)生活中占有重要地位,網(wǎng)絡(luò)安全性越來(lái)越重要。本文從網(wǎng)絡(luò)互連七層協(xié)議、企業(yè)網(wǎng)的分層和網(wǎng)絡(luò)安全管理體系三個(gè)方面來(lái)闡述企業(yè)網(wǎng)絡(luò)的安全性。并以具體的相關(guān)產(chǎn)品為例來(lái)闡述如何構(gòu)建一個(gè)安全的企業(yè)網(wǎng)絡(luò)。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,其開(kāi)放性,共享性,互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。寬帶網(wǎng)作為企業(yè)主要的數(shù)據(jù)業(yè)務(wù)承載網(wǎng)絡(luò),特別是電子商務(wù)(E-Commerce)、企業(yè)數(shù)據(jù)專(zhuān)線、網(wǎng)絡(luò)互聯(lián)、Internet接入服務(wù)等應(yīng)用在社會(huì)經(jīng)濟(jì)生活的地位日益凸現(xiàn)。網(wǎng)絡(luò)的安全性直接影響到社會(huì)的經(jīng)濟(jì)效益。例如,2003年1月份的SQL殺手蠕蟲(chóng)事件,中國(guó)有兩萬(wàn)多臺(tái)數(shù)據(jù)庫(kù)服務(wù)器受到影響,使國(guó)內(nèi)眾多企業(yè)網(wǎng)絡(luò)全部處于癱瘓或半癱瘓狀態(tài);2003年8月份的沖擊波蠕蟲(chóng),使成千上萬(wàn)的用戶計(jì)算機(jī)變慢,被感染的計(jì)算機(jī)反復(fù)重啟,有的還導(dǎo)致了系統(tǒng)崩潰,受到“沖擊波”病毒感染的計(jì)算機(jī)反過(guò)來(lái)又會(huì)影響到網(wǎng)絡(luò)的正常運(yùn)行。 隨著網(wǎng)絡(luò)安全問(wèn)題重要性增加,如何設(shè)計(jì)一個(gè)穩(wěn)定、可靠、安全和經(jīng)濟(jì)的企業(yè)網(wǎng),應(yīng)對(duì)日益增多的網(wǎng)絡(luò)攻擊、病毒破壞和黑客入侵等問(wèn)題已成為企業(yè)網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)所關(guān)注的重點(diǎn)。本文從網(wǎng)絡(luò)互連七層協(xié)議、城域網(wǎng)的分層和網(wǎng)絡(luò)安全管理體系三個(gè)方面來(lái)闡述寬帶網(wǎng)絡(luò)的安全性。 [網(wǎng)絡(luò)安全服務(wù)層次模型] 國(guó)際標(biāo)準(zhǔn)化組織ISO在開(kāi)放系統(tǒng)互連標(biāo)準(zhǔn)中定義了七個(gè)層次的網(wǎng)絡(luò)互連參考模型,它們分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。不同的網(wǎng)絡(luò)層次有不同的功能,例如鏈路層負(fù)責(zé)建立點(diǎn)到點(diǎn)通信,網(wǎng)絡(luò)層負(fù)責(zé)路由,傳輸層負(fù)責(zé)建立端到端的進(jìn)程通信信道。相應(yīng)地,在各層需要提供不同的安全機(jī)制和安全服務(wù)。 在物理層要保證通信線路的可靠,不易被竊聽(tīng)。在鏈路層可以采用加密技術(shù),保證通信的安全。在Internet、Intranet環(huán)境中,地域分布很廣,物理層的安全難以保證,鏈路層的加密技術(shù)也不完全適用。 在網(wǎng)絡(luò)層,可以采用傳統(tǒng)的防火墻技術(shù),如TCP/IP 網(wǎng)絡(luò)中。采用IP過(guò)濾功能的路由器,以控制信息在內(nèi)外網(wǎng)絡(luò)邊界的流動(dòng)。還可使用IP加密傳輸信道技術(shù)IP SEC,在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)間建立透明的安全加密信道。這種技術(shù)對(duì)應(yīng)用透明,提供主機(jī)對(duì)主機(jī)的安全服務(wù)。適用于在公共通信設(shè)施上建立虛擬的專(zhuān)用網(wǎng)。這種方法需要建立標(biāo)準(zhǔn)密鑰管理,目前在產(chǎn)品兼容性和性能上尚存在較多問(wèn)題。 在傳輸層可以實(shí)現(xiàn)進(jìn)程到進(jìn)程的安全通信,如現(xiàn)在流行的安全套接字層SSL技術(shù),是在兩個(gè)通信結(jié)點(diǎn)間建立安全的TCP連接。這種技術(shù)實(shí)現(xiàn)了基于進(jìn)程對(duì)進(jìn)程的安全服務(wù)和加密傳輸信道,采用公鑰體系做身份認(rèn)證;有高的安全強(qiáng)度。但這種技術(shù)對(duì)應(yīng)用層不透明,需要證書(shū)授權(quán)中心,它本身不提供訪問(wèn)控制。 針對(duì)專(zhuān)門(mén)的應(yīng)用,在應(yīng)用層實(shí)施安全機(jī)制,對(duì)特定的應(yīng)用是有效的,如基于SMTP電子郵件的安全增強(qiáng)型郵件PEM提供了安全服務(wù)的電子郵件。又如用于Web的安全增強(qiáng)型超文本傳輸協(xié)議S-HTTP提供了文件級(jí)的安全服務(wù)機(jī)制。由于它是針對(duì)特定應(yīng)用的,缺乏通用性,且須修改應(yīng)用程序。 [企業(yè)寬帶網(wǎng)的層次安全模型] 企業(yè)寬帶網(wǎng)的安全風(fēng)險(xiǎn)主要在于設(shè)備遭受攻擊或病毒引發(fā)的網(wǎng)絡(luò)流量突然增大對(duì)設(shè)備性能的沖擊,與業(yè)務(wù)相關(guān)的數(shù)據(jù)庫(kù)服務(wù)器受到病毒的攻擊,影響業(yè)務(wù)的正常運(yùn)行,安全建設(shè)應(yīng)更多地采用技術(shù)來(lái)保證網(wǎng)絡(luò)和設(shè)備安全,并以用戶管理作為輔助手段。 安全模型將企業(yè)寬帶網(wǎng)分成三個(gè)區(qū)域:信任域、非信任域和隔離區(qū)域(非軍事區(qū))。信任域是企業(yè)內(nèi)部的基礎(chǔ)網(wǎng)絡(luò),通常采用防火墻等設(shè)備與企業(yè)業(yè)務(wù)網(wǎng)隔離,包括企業(yè)內(nèi)部的各個(gè)不同的域;隔離區(qū)域是信任域和非信任域之間進(jìn)行數(shù)據(jù)交互的平臺(tái),包括企業(yè)對(duì)外提供的各種業(yè)務(wù)平臺(tái),如Web服務(wù)平臺(tái)、FTP服務(wù)器、用戶查詢平臺(tái)、Mail服務(wù)器等;非信任域是指企業(yè)之外的廣泛的互聯(lián)網(wǎng)絡(luò),是企業(yè)不能完全控制的網(wǎng)絡(luò)。作為安全模型中的非信任域,需要重點(diǎn)考慮。 [企業(yè)寬帶網(wǎng)的層次安全分析] 1. 信任域的安全 信任域由企業(yè)ERP系統(tǒng)、網(wǎng)管系統(tǒng)、財(cái)務(wù)系統(tǒng)等組成,是企業(yè)網(wǎng)安全運(yùn)營(yíng)的核心所在,因而,必須采取最嚴(yán)密的安全措施。在一般情況下,信任域可能面臨的威脅包括網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、病毒(造成拒絕服務(wù)攻擊)等。為了避免這些威脅,保證信任域的安全,可采取以下手段: (1)部署防火墻,制定嚴(yán)格的安全訪問(wèn)策略,嚴(yán)格限制對(duì)此區(qū)域的訪問(wèn); (2)認(rèn)真配置好系統(tǒng)軟件和應(yīng)用軟件,跟蹤操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞及補(bǔ)丁進(jìn)展情況,嚴(yán)格限定系統(tǒng)和應(yīng)用所服務(wù)對(duì)象的范圍; (3)部署網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)(IDS),對(duì)核心服務(wù)實(shí)施監(jiān)控,對(duì)網(wǎng)絡(luò)攻擊和病毒及時(shí)報(bào)警; (4)建立網(wǎng)管系統(tǒng)和日志系統(tǒng); (5)對(duì)重要的主機(jī)系統(tǒng)應(yīng)采用雙機(jī)熱備份方式,對(duì)重要的應(yīng)用系統(tǒng)和數(shù)據(jù)做好完善的備份工作,根據(jù)具體情況和需要設(shè)置災(zāi)難恢復(fù)系統(tǒng)。 2. 隔離域的安全 隔離域是企業(yè)網(wǎng)對(duì)外開(kāi)放的平臺(tái),包括WWW服務(wù)、DNS服務(wù)、FTP服務(wù)、Mail服務(wù)、用戶查詢系統(tǒng)等,所有業(yè)務(wù)必須對(duì)外開(kāi)放,因而安全威脅最大,也是最容易受到攻擊的區(qū)域。為保證安全,可采取以下手段: (1)部署防火墻,制定安全訪問(wèn)策略,特別是拒絕服務(wù)攻擊(DDOS); (2)及時(shí)修補(bǔ)服務(wù)器的安全漏洞,關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)等; (3)系統(tǒng)備份和日志系統(tǒng)等等。 3. 非信任域的安全 非信任域是網(wǎng)絡(luò)業(yè)務(wù)的傳輸網(wǎng)絡(luò),主要由電信營(yíng)運(yùn)商負(fù)責(zé)其安全: 企業(yè)網(wǎng)需要重點(diǎn)考慮的是隔離域的安全問(wèn)題,加強(qiáng)設(shè)備自身的安全和日常維護(hù)流程,從技術(shù)和流程兩方面來(lái)保證。 [下面闡述如何以具體的網(wǎng)絡(luò)設(shè)備為基層建設(shè)安全的企業(yè)網(wǎng)] 目前的防火墻一般標(biāo)配三個(gè)網(wǎng)絡(luò)接口,分別連接外部網(wǎng)、內(nèi)部網(wǎng)和SSN。硬件平臺(tái)具有可擴(kuò)展和可升級(jí)性等特性,研祥智能科技股份有限公司專(zhuān)為網(wǎng)絡(luò)行業(yè)用戶研發(fā)生產(chǎn)了多款單網(wǎng)口、雙網(wǎng)口、四網(wǎng)口的工業(yè)級(jí)主板,為所有的網(wǎng)絡(luò)客戶提供了完備的選擇。[系統(tǒng)配置] 防火墻: 機(jī)箱IPC-8101/主板NET-1711V4N/CPU P42.8/內(nèi)存 256M/硬盤(pán) 160G 路由器:機(jī)箱IPC-8206/主板FSC-1715VN/CPU P4 2.0G/內(nèi)存256DDR/硬盤(pán)160G WEB服務(wù)器:機(jī)箱IPC-8101/主板FSC-1713VNA/P4 3.0G/內(nèi)存256M/硬盤(pán)160G 終端:機(jī)箱IPC-810/主板FSC-1715VN/CPU P4 2.8G/內(nèi)存256DDR/硬盤(pán)160G [系統(tǒng)評(píng)價(jià)] 1、所有安全和服務(wù)由工業(yè)級(jí)的硬件設(shè)備完成: 安全軟件在運(yùn)行、存儲(chǔ)中是不能保障安全的,軟件運(yùn)行時(shí)很多重要信息都會(huì)在某個(gè)時(shí)間清晰地出現(xiàn)于計(jì)算機(jī)的存儲(chǔ)器中,因而"高水平"的不法分子竊取并利用這些重要信息十分容易,所以采用由"EVOC"特種計(jì)算機(jī)搭建的硬件平臺(tái),保障了整個(gè)系統(tǒng)的安全。 2.整個(gè)系統(tǒng)實(shí)用可靠: "EVOC" 特種計(jì)算機(jī)是基于PC總線的特種計(jì)算機(jī),能滿足綜合業(yè)務(wù)系統(tǒng)的實(shí)際需要,運(yùn)行可靠穩(wěn)定。 3.整體化的系統(tǒng)設(shè)計(jì): 系統(tǒng)不僅依靠獨(dú)立的安全保密設(shè)備,而且從整個(gè)防火墻系統(tǒng)的安全角度進(jìn)行考慮,進(jìn)行了整體化的設(shè)計(jì),保證了系統(tǒng)的安全性、保密性。 4.使用方便、操作簡(jiǎn)單、維護(hù)方便。 [總結(jié)] 寬帶企業(yè)網(wǎng)的網(wǎng)絡(luò)安全是一項(xiàng)非常艱巨和持久的任務(wù)。對(duì)網(wǎng)絡(luò)安全問(wèn)題必須通盤(pán)考慮,進(jìn)行體系化的整體安全設(shè)計(jì)和實(shí)施。既要充分考慮網(wǎng)絡(luò)的安全性能,考慮設(shè)備防攻擊的健壯性,有效實(shí)施設(shè)備相關(guān)安全特性,又要結(jié)合專(zhuān)用的安全產(chǎn)品,采取分域、多層安全保護(hù)措施。既要考慮設(shè)備安全和技術(shù)的因素,又要重視網(wǎng)絡(luò)安全人員在網(wǎng)絡(luò)安全方面所起決定性的作用。   

標(biāo)簽:

點(diǎn)贊

分享到:

上一篇:研華嵌入式工控機(jī)ARK-5280在...

下一篇:微能WIN-V63矢量控制變頻器在...

中國(guó)傳動(dòng)網(wǎng)版權(quán)與免責(zé)聲明:凡本網(wǎng)注明[來(lái)源:中國(guó)傳動(dòng)網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國(guó)傳動(dòng)網(wǎng)(m.u63ivq3.com)獨(dú)家所有。如需轉(zhuǎn)載請(qǐng)與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個(gè)人轉(zhuǎn)載使用時(shí)須注明來(lái)源“中國(guó)傳動(dòng)網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來(lái)源的稿件,均來(lái)自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請(qǐng)保留稿件來(lái)源及作者,禁止擅自篡改,違者自負(fù)版權(quán)法律責(zé)任。

網(wǎng)站簡(jiǎn)介|會(huì)員服務(wù)|聯(lián)系方式|幫助信息|版權(quán)信息|網(wǎng)站地圖|友情鏈接|法律支持|意見(jiàn)反饋|sitemap

傳動(dòng)網(wǎng)-工業(yè)自動(dòng)化與智能制造的全媒體“互聯(lián)網(wǎng)+”創(chuàng)新服務(wù)平臺(tái)

網(wǎng)站客服服務(wù)咨詢采購(gòu)咨詢媒體合作

Chuandong.com Copyright ?2005 - 2024 ,All Rights Reserved 深圳市奧美大唐廣告有限公司 版權(quán)所有
粵ICP備 14004826號(hào) | 營(yíng)業(yè)執(zhí)照證書(shū) | 不良信息舉報(bào)中心 | 粵公網(wǎng)安備 44030402000946號(hào)