- 網(wǎng)絡(luò)安全防護(hù)方案 推薦度:
- 相關(guān)推薦
網(wǎng)絡(luò)安全防護(hù)方案
為了確保事情或工作安全順利進(jìn)行,常常需要提前進(jìn)行細(xì)致的方案準(zhǔn)備工作,方案是為某一行動(dòng)所制定的具體行動(dòng)實(shí)施辦法細(xì)則、步驟和安排等。那么制定方案需要注意哪些問(wèn)題呢?下面是小編精心整理的網(wǎng)絡(luò)安全防護(hù)方案,希望對(duì)大家有所幫助。
網(wǎng)絡(luò)安全防護(hù)方案1
近年來(lái),隨著網(wǎng)絡(luò)安全問(wèn)題的不斷涌現(xiàn),國(guó)家對(duì)網(wǎng)絡(luò)安全越來(lái)越重視。水電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越多。本文從多個(gè)角度研究了水電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題,提出相關(guān)設(shè)計(jì)思路和解決方案,并進(jìn)行系統(tǒng)的描述。電力行業(yè)是我國(guó)重要的關(guān)鍵基礎(chǔ)設(shè)施,關(guān)乎國(guó)計(jì)民生,其中發(fā)電廠電力監(jiān)控系統(tǒng)是最核心和重要的系統(tǒng)之一。在滿足“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”基本原則的基礎(chǔ)上,結(jié)合國(guó)家信息安全等級(jí)保護(hù)工作的相關(guān)要求,對(duì)電力監(jiān)控系統(tǒng)的綜合安全防護(hù)建設(shè)工作仍需持續(xù)加強(qiáng)。近年來(lái),電力監(jiān)控系統(tǒng)的外部環(huán)境發(fā)生了變化,系統(tǒng)網(wǎng)絡(luò)不再獨(dú)立封閉,更多的系統(tǒng)互聯(lián)。外部攻擊源從單點(diǎn)個(gè)體變化為規(guī)模化團(tuán)體攻擊,攻擊從個(gè)體行為向團(tuán)隊(duì)協(xié)作過(guò)渡,甚至部級(jí)力量開(kāi)始介入。攻擊技術(shù)在軟件即服務(wù)等新技術(shù)的加持下,惡意代碼獲得便捷、多元、快速,攻擊行為全天候,產(chǎn)生惡意代碼變種的速度空前加快。攻擊手段趨于定制化、個(gè)性化、復(fù)雜化,APT技術(shù)運(yùn)用越來(lái)越多。工業(yè)自動(dòng)化進(jìn)一步發(fā)展,智慧電廠、泛在互聯(lián)如火如荼,廣泛的互聯(lián)互操作使生產(chǎn)網(wǎng)絡(luò)趨向復(fù)雜,風(fēng)險(xiǎn)點(diǎn)增多。
1設(shè)計(jì)思路
水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案的主要設(shè)計(jì)思路:強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力;提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力;提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力;提高系統(tǒng)內(nèi)主機(jī)病毒防范能力;提高主機(jī)身份認(rèn)證能力,采用雙因子認(rèn)證機(jī)制;一鍵式安全加固,提高主機(jī)安全基線;關(guān)閉不必要的服務(wù)端口,提高入侵防范能力;利用訪問(wèn)控制策略,保證業(yè)務(wù)配置文件不被篡改;提高日志審計(jì)能力,審計(jì)日志至少保存12個(gè)月;加強(qiáng)運(yùn)維人員行為管理;建立統(tǒng)一安全管理中心,強(qiáng)化集中管控能力;技術(shù)手段輔助業(yè)主完成定期自檢。風(fēng)險(xiǎn)評(píng)估分析是對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)各資產(chǎn)進(jìn)行安全管理的先決條件,其目的在于識(shí)別和評(píng)估不同用戶所面臨的生產(chǎn)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。工控系統(tǒng)資產(chǎn)梳理,分析價(jià)值;識(shí)別已有的安全防護(hù)措施;資產(chǎn)脆弱性及面臨的威脅分析;安全風(fēng)險(xiǎn)綜合分析。
2方案介紹
2.1強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力ACL+應(yīng)用級(jí)白名單:配置ACL訪問(wèn)控制規(guī)則,僅允許業(yè)務(wù)相關(guān)IP通過(guò)。工控協(xié)議深度解析,形成協(xié)議白名單,保證只有可信任的協(xié)議、指令才可以通過(guò)。針對(duì)具體指令的具體值域范圍進(jìn)行保護(hù)。驗(yàn)證工控協(xié)議的合規(guī)性,控制邏輯的合理性,控制協(xié)議功能碼、點(diǎn)值。
2.2提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力實(shí)時(shí)監(jiān)測(cè)基于白名單的工業(yè)流量、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)基于流量的威脅以及對(duì)網(wǎng)絡(luò)威脅感知系統(tǒng)APT攻擊。網(wǎng)絡(luò)威脅感知系統(tǒng)(APT)內(nèi)置威脅情報(bào)檢測(cè),APT情報(bào)檢測(cè)能力,內(nèi)置IOC數(shù)據(jù)庫(kù)覆蓋主流的APT家族,覆蓋家族數(shù)量≥240個(gè)。采用基因圖譜模糊比對(duì)技術(shù)對(duì)流量中的文件進(jìn)行靜態(tài)檢測(cè)通過(guò)結(jié)合圖像文理分析技術(shù)與惡意代碼變種檢測(cè)技術(shù)將可疑文件的二進(jìn)制代碼映射為無(wú)法壓縮的灰階圖片,與已有的惡意代碼基因庫(kù)圖片進(jìn)行相似度匹配,根據(jù)相似度判斷是否為威脅變種。
2.3提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力交換機(jī)關(guān)閉不必要端口;進(jìn)行IP/MAC綁定;工控主機(jī)衛(wèi)士開(kāi)啟非法外聯(lián)策略。
2.4提高系統(tǒng)內(nèi)主機(jī)病毒防范能力傳統(tǒng)安全解決方案難以及時(shí)更新、打補(bǔ);緩沖區(qū)溢出、0day漏洞利用等攻擊方式,傳統(tǒng)殺毒軟件存在短板;殺毒軟件或?qū)I(yè)務(wù)軟件誤識(shí)為病毒而刪除。切斷惡意代碼/病毒通過(guò)U盤擺渡到系統(tǒng)內(nèi)部的途徑;啟動(dòng)文件級(jí)白名單策略,防止惡意代碼/病毒/非法軟件執(zhí)行。保證只有經(jīng)過(guò)授權(quán)的可執(zhí)行程序才可以執(zhí)行,保證只有經(jīng)過(guò)授權(quán)的U盤才允許使用。
2.5提高主機(jī)身份認(rèn)證能力,采用雙因子認(rèn)證機(jī)制采用靜態(tài)密碼+UKEY,關(guān)鍵服務(wù)器采用雙因子認(rèn)證。
2.6一鍵式安全加固,提高主機(jī)安全基線內(nèi)置42條安全基線規(guī)則,一鍵式配置,降低手動(dòng)加固成。根據(jù)不同加固等級(jí),一鍵加固。
2.7關(guān)閉不必要的服務(wù)端口,提高入侵防范能力內(nèi)置防火墻功能,關(guān)閉不必要端口;一鍵式配置,降低手動(dòng)加固成本。
2.8利用訪問(wèn)控制策略,保證業(yè)務(wù)配置文件不被篡改自主訪問(wèn)控制,基于標(biāo)記的強(qiáng)制訪問(wèn)控制。
2.9提高日志審計(jì)能力,審計(jì)日志至少保存12個(gè)月范式化多種類設(shè)備(主機(jī)、網(wǎng)絡(luò)、安全)日志,快速準(zhǔn)確的識(shí)別安全事件,發(fā)現(xiàn)違規(guī)行為。
2.10加強(qiáng)運(yùn)維人員行為管理運(yùn)維人員身份授權(quán)、運(yùn)維人員操作授權(quán)、運(yùn)維人員行為審計(jì)。安全運(yùn)維管理系統(tǒng)進(jìn)行統(tǒng)一賬戶管理。
2.11建立統(tǒng)一安全管理中心,強(qiáng)化集中管控能力安全產(chǎn)品統(tǒng)一管理,安全管理加密傳輸,高度可視化,雙機(jī)熱備,高度可靠。
2.12技術(shù)手段輔助業(yè)主完成定期自檢先進(jìn)行漏洞掃描并生成相關(guān)報(bào)告,給出指導(dǎo)意見(jiàn)。
3主要特點(diǎn)
3.1廠級(jí)統(tǒng)一安全運(yùn)營(yíng)中心
資產(chǎn)可視,自動(dòng)識(shí)別工控網(wǎng)的設(shè)備類型、設(shè)備廠商、設(shè)備型號(hào),自動(dòng)識(shí)別網(wǎng)絡(luò)拓?fù),提供全方位的資產(chǎn)可視化體驗(yàn)。威脅可視,智能分析海量安全設(shè)備日志,通過(guò)人工智能的知識(shí)圖譜技術(shù),將資產(chǎn)配置弱點(diǎn)、漏洞、威脅事件關(guān)聯(lián)分析,自動(dòng)發(fā)現(xiàn)攻擊路徑。合規(guī)評(píng)估,結(jié)合等級(jí)保護(hù)合規(guī)自評(píng)和自動(dòng)化的合規(guī)評(píng)估技術(shù),將合規(guī)評(píng)估量化分析,提供企業(yè)集團(tuán)量化的健康指數(shù)。
3.2安全管理制度完善
完善生產(chǎn)網(wǎng)安全制度與標(biāo)準(zhǔn)體系,滿足等級(jí)保護(hù)的基本要求、測(cè)評(píng)要求,規(guī)范網(wǎng)絡(luò)安全管理,保障網(wǎng)絡(luò)安全工作的順利開(kāi)展;建立企業(yè)自身的工控網(wǎng)絡(luò)安全制度與標(biāo)準(zhǔn),需要企業(yè)業(yè)務(wù)主管部門、安全管理部門與我司共同配合完成,在滿足國(guó)家等級(jí)保護(hù)相關(guān)要求基礎(chǔ)上,能夠與企業(yè)自身生產(chǎn)特點(diǎn)相融合。一級(jí)文件:電力監(jiān)控系統(tǒng)的工控網(wǎng)絡(luò)安全管理方針,能夠反映最高管理者對(duì)工控網(wǎng)絡(luò)安全管理下達(dá)的工作意圖等,能為所有下級(jí)文件的編寫(xiě)提供方向。二級(jí)文件:各類屬于電力監(jiān)控系統(tǒng)工控網(wǎng)絡(luò)安全管理的規(guī)范性制度、標(biāo)準(zhǔn)、辦法、策略文件、配置規(guī)范等。三級(jí)文件:各種體系運(yùn)行所需的規(guī)范文檔模板。內(nèi)置豐富的攻擊特征庫(kù),結(jié)合硬件加速信息包捕捉技術(shù)來(lái)探測(cè)包括PLC等控制設(shè)備的拒絕服務(wù)攻擊漏洞、緩沖區(qū)溢出攻擊漏洞等典型工控漏洞的攻擊行為,并及時(shí)告警。采用TCP/IP數(shù)據(jù)重組、目標(biāo)和應(yīng)用程序識(shí)別、完整的'應(yīng)用層有限狀態(tài)追蹤、應(yīng)用層協(xié)議分析、先進(jìn)的事件關(guān)聯(lián)分析技術(shù)以及多項(xiàng)反IDS逃避技術(shù),提供業(yè)界超低的誤報(bào)率和漏報(bào)率。能夠?yàn)橛脩籼峁┴S富的動(dòng)態(tài)圖形報(bào)表,以及數(shù)十種分析報(bào)表模版和向?qū)降挠脩糇远x報(bào)表功能。采用旁路部署方式,不會(huì)對(duì)網(wǎng)絡(luò)造成任何影響。安全區(qū)域邊界:在生產(chǎn)控制大區(qū)計(jì)算機(jī)監(jiān)控系統(tǒng)地上環(huán)網(wǎng)與地下環(huán)網(wǎng)各就地控制單元(LCU)之間部署工業(yè)防火墻,實(shí)現(xiàn)區(qū)域間的邏輯隔離和網(wǎng)絡(luò)威脅防護(hù),保證電力監(jiān)控系統(tǒng)區(qū)域邊界安全。安全通信網(wǎng)絡(luò):在生產(chǎn)控制大區(qū)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署工控安全監(jiān)控與審計(jì)系統(tǒng)和網(wǎng)絡(luò)威脅感知系統(tǒng),對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、異常操作等行為,特別是新型網(wǎng)絡(luò)攻擊行為,并告警通知安全管理員。安全計(jì)算環(huán)境:在電力監(jiān)控系統(tǒng)中工程師站、操作員站、服務(wù)器和接口機(jī)上安裝工控主機(jī)衛(wèi)士軟件,開(kāi)啟程序白名單、外設(shè)管控、安全基線及訪問(wèn)控制等功能,實(shí)現(xiàn)阻攔病毒、木馬等惡意程序的運(yùn)行、主機(jī)安全加固和移動(dòng)介質(zhì)管控等安全需求。安全管理中心:在在生產(chǎn)控制大區(qū)部署統(tǒng)一安全管理平臺(tái)和安全運(yùn)維管理系統(tǒng),實(shí)現(xiàn)安全設(shè)備進(jìn)行集中管控,并對(duì)日志數(shù)據(jù)、告警數(shù)據(jù)等進(jìn)行集中分析,同時(shí)對(duì)不同權(quán)限賬戶進(jìn)行身份鑒別及權(quán)限管理,保證電力監(jiān)控系統(tǒng)管理安全;同時(shí)配置工控漏洞掃描系統(tǒng),定期對(duì)電力監(jiān)控系統(tǒng)進(jìn)行漏掃掃描,及時(shí)發(fā)現(xiàn)電力監(jiān)控系統(tǒng)中的網(wǎng)絡(luò)安全漏洞。
結(jié)論:
本文研究了水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的相關(guān)內(nèi)容,并制定了對(duì)應(yīng)的方案。該水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案提高了工控主機(jī)病毒和惡意代碼防范能力,增強(qiáng)工控主機(jī)安全性;有效檢測(cè)工控網(wǎng)絡(luò)中的異常操作行為并加以阻止,避免造成重大安全生產(chǎn)事故、人員傷亡和社會(huì)影響。實(shí)時(shí)檢測(cè)工控網(wǎng)絡(luò)中的惡意攻擊、誤操作、違規(guī)行為、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播,幫助客戶及時(shí)采取應(yīng)對(duì)措施,避免發(fā)生安全事故;詳實(shí)記錄網(wǎng)絡(luò)通信流量,為安全事故調(diào)查取證提供技術(shù)支撐。
網(wǎng)絡(luò)安全防護(hù)方案2
立體安全防護(hù)考慮到了信息安全防范的多個(gè)層次以及各個(gè)方面,是一個(gè)完善的解決方案。
信息系統(tǒng)在提高工作效率、輔助決策、優(yōu)化管理的同時(shí),也帶來(lái)了眾多的信息安全風(fēng)險(xiǎn),比如:黑客的入侵和犯罪、病毒木馬的泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、DDoS攻擊的巨大危害、內(nèi)部人員的違規(guī)和違法操作、用戶上網(wǎng)行為的管理和控制、移動(dòng)存儲(chǔ)介質(zhì)帶來(lái)的信息泄密、網(wǎng)絡(luò)與主機(jī)系統(tǒng)、服務(wù)的脆弱和癱瘓,信息產(chǎn)品的管理和失控等等。這些風(fēng)險(xiǎn)時(shí)刻威脅著各項(xiàng)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。一旦風(fēng)險(xiǎn)失控,將可能帶來(lái)無(wú)法估量的重大損失。
針對(duì)上述種種安全隱患,同時(shí)為了降低各種信息安全風(fēng)險(xiǎn),保障業(yè)務(wù)的連續(xù)性,將損失盡可能降到最低點(diǎn),基于信息安全的“保密性”、“可用性”和“完整性”原則,華為推出了融“慧”貫通的立體安全防護(hù)體系,為客戶業(yè)務(wù)保駕護(hù)航,目前在各行各業(yè)的信息化領(lǐng)域得到了廣泛的成功應(yīng)用。
“融”:融合網(wǎng)絡(luò)和內(nèi)容安全
“融”是指融合網(wǎng)絡(luò)安全和內(nèi)容安全,包括Web安全、郵件安全、應(yīng)用與通信過(guò)程的安全及安全管理平臺(tái)。它是方案的全貌。
從入口方向,方案要做的是:抑制惡意代碼通過(guò)Web應(yīng)用傳播,阻止病毒通過(guò)Web下載傳播,對(duì)所有的請(qǐng)求進(jìn)行數(shù)據(jù)安全性驗(yàn)證;抑制垃圾郵件傳播、抑制病毒或惡意代碼通過(guò)郵件傳播,同時(shí)對(duì)郵件服務(wù)系統(tǒng)進(jìn)行加固;阻止利用網(wǎng)站應(yīng)用漏洞使用SQL注入或跨站攻擊等方式獲得系統(tǒng)或數(shù)據(jù)庫(kù)管理員權(quán)限,保護(hù)網(wǎng)站W(wǎng)eb應(yīng)用安全;評(píng)估與防護(hù)系統(tǒng)漏洞、防止DDoS攻擊。
在出口方向,方案要做的是:提供主動(dòng)危害防護(hù),對(duì)惡意內(nèi)容過(guò)濾,控制內(nèi)容訪問(wèn);對(duì)郵件進(jìn)行加密,避免信息泄漏,建立郵件審計(jì)機(jī)制,對(duì)用戶惡意行為有追述能力,過(guò)濾郵件中的惡意內(nèi)容;基于應(yīng)用和操作識(shí)別,控制訪問(wèn)過(guò)程和數(shù)據(jù)傳播過(guò)程。
俗話說(shuō):“三分技術(shù),七分管理”。優(yōu)秀的產(chǎn)品與技術(shù)需要優(yōu)秀的管理平臺(tái)支撐,否則只是一盤散沙,無(wú)法發(fā)揮應(yīng)有的作用。在華為立體安全防護(hù)解決方案中,整個(gè)安全體系由統(tǒng)一的安全管理平臺(tái)VSM管理,對(duì)網(wǎng)絡(luò)中的路由器、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)、Secospace等網(wǎng)絡(luò)及安全產(chǎn)品進(jìn)行統(tǒng)一的集中管理與監(jiān)控,保證各個(gè)產(chǎn)品的正常運(yùn)行與協(xié)同工作,使安全管理真正落到實(shí)處,真正體現(xiàn)立體安全防護(hù)體系的威力,減少管理環(huán)節(jié),提高管理效率,降低管理運(yùn)維成本。
“慧”:構(gòu)建主動(dòng)安全架構(gòu)
“慧”指的是主動(dòng)安全架構(gòu)。
安全是動(dòng)態(tài)變化的,安全防護(hù)產(chǎn)品及技術(shù)體系必須時(shí)刻研究變化發(fā)展的安全趨勢(shì),適應(yīng)新的安全形勢(shì)。為此,華為提出了業(yè)界領(lǐng)先的主動(dòng)安全架構(gòu)(Proactive Security Frame)模型,它是華為針對(duì)未來(lái)安全的發(fā)展趨勢(shì),運(yùn)用華為立體安全防護(hù)的理念提出的主動(dòng)安全解決方案的集合,該方案針對(duì)網(wǎng)絡(luò)模型中各層威脅的特點(diǎn),提供應(yīng)用和內(nèi)容的雙向安全管理與防護(hù)。借助華為分布于全球的IP信譽(yù)評(píng)估系統(tǒng),它能夠提供及時(shí)主動(dòng)的、實(shí)時(shí)的在線安全。
為了保證能及時(shí)了解變化發(fā)展的`安全形勢(shì),華為專門成立了近200人的安全專家團(tuán)隊(duì)。這是國(guó)內(nèi)最大的安全技術(shù)預(yù)研小組,專注于對(duì)網(wǎng)絡(luò)安全基礎(chǔ)及前沿技術(shù)進(jìn)行深入分析研究,并進(jìn)行協(xié)議分析、防病毒、反垃圾郵件、網(wǎng)絡(luò)攻防技術(shù)的研究和相關(guān)知識(shí)庫(kù)的積累。這些能力和積累是華為提供優(yōu)質(zhì)安全產(chǎn)品、解決方案和服務(wù)的最有力的支撐。
“貫”:建立縱深安全防御體系
“貫”是指建立縱深安全防御體系,實(shí)現(xiàn)“進(jìn)不來(lái)”、“看不了”、“拿不走”、“打不開(kāi)”、“跑不掉”的安全目標(biāo),保證信息資源的安全,保持業(yè)務(wù)的連續(xù)性。
在總部與分支機(jī)構(gòu)、移動(dòng)用戶、合作伙伴等的數(shù)據(jù)傳輸上,通過(guò)IPSec/SSL實(shí)現(xiàn)信息的加密安全傳輸,防止被黑客非法竊聽(tīng);
在網(wǎng)絡(luò)層,通過(guò)防火墻、UTM綜合安全網(wǎng)關(guān)堵截網(wǎng)絡(luò)威脅,通過(guò)連接控制、認(rèn)證、授權(quán)技術(shù)對(duì)訪問(wèn)者進(jìn)行認(rèn)證授權(quán),并為事后的追溯提供依據(jù)。
通過(guò)入侵檢測(cè)系統(tǒng)對(duì)各類網(wǎng)絡(luò)攻擊、入侵行為進(jìn)行檢測(cè)響應(yīng),及時(shí)報(bào)警通知管理員采取適當(dāng)?shù)姆雷o(hù)措施,同時(shí)可與防火墻、UTM設(shè)備進(jìn)行聯(lián)動(dòng),及時(shí)阻斷入侵行為的繼續(xù)進(jìn)行,保證內(nèi)部網(wǎng)絡(luò)及業(yè)務(wù)的安全性。
Web網(wǎng)關(guān)具備防惡意軟件能力,對(duì)Web應(yīng)用程序進(jìn)行控制,通過(guò)Web過(guò)濾、SSL流量檢測(cè)、內(nèi)容檢查和防信息泄漏等技術(shù),保證Web應(yīng)用安全。
郵件安全網(wǎng)關(guān)提供反垃圾郵件、防病毒、內(nèi)容檢測(cè)、加密以及信侵檢測(cè)等功能。
所有的安全功能,均由華為的安全知識(shí)庫(kù)體系提供有力的技術(shù)支撐。
Secospace內(nèi)網(wǎng)終端安全管理系統(tǒng)對(duì)內(nèi)網(wǎng)及終端用戶進(jìn)行保護(hù)及控制,可以與已有的用戶認(rèn)證系統(tǒng)結(jié)合,非法用戶將被阻止接入網(wǎng)絡(luò),合法用戶認(rèn)證通過(guò)后,需經(jīng)過(guò)安全檢查確認(rèn)該終端的安全性之后方可授權(quán)訪問(wèn)權(quán)限內(nèi)的資源;同時(shí)能夠規(guī)范員工行為,管理和審計(jì)終端的各種行為舉動(dòng),監(jiān)測(cè)控制非法外聯(lián)、非法存儲(chǔ)介質(zhì)的使用,防止機(jī)密資料的外泄,對(duì)安全狀態(tài)進(jìn)行連續(xù)監(jiān)控,實(shí)現(xiàn)不間斷防護(hù)。
Secospace文檔安全管理系統(tǒng)可以為機(jī)密文檔加強(qiáng)保護(hù),保證文檔的權(quán)限不會(huì)擴(kuò)散,即使不慎丟失或者被黑客、間諜竊取也無(wú)法使用,防止泄密。
日志審計(jì)、流量分析解決方案可以為管理員了解網(wǎng)絡(luò)及業(yè)務(wù)運(yùn)行情況提供有力的數(shù)據(jù)支持,便于管理員提出信息化優(yōu)化方案,進(jìn)一步促進(jìn)業(yè)務(wù)的發(fā)展;在安全事件發(fā)生后,可以為事后追蹤取證提供依據(jù),防止抵賴。
“通”:時(shí)刻保持網(wǎng)絡(luò)的暢通
“通”是指保證網(wǎng)絡(luò)出口不受DDoS攻擊的影響,時(shí)刻保持網(wǎng)絡(luò)的暢通,保證業(yè)務(wù)的可用性。
華為防DDoS攻擊技術(shù)通過(guò)對(duì)攻擊指紋信息的匹配與學(xué)習(xí),采用線速的深度報(bào)文檢測(cè)技術(shù),可以有效抵御各種類型DDoS的攻擊,阻斷僵尸網(wǎng)絡(luò)的傳播與控制途徑。
華為防DDoS方案提供10G接口以及20G的流量清洗能力。該方案不僅支持流量型攻擊檢測(cè)和清洗,同時(shí)還支持小流量應(yīng)用層的攻擊檢測(cè)和清洗,如http get及CC攻擊;同時(shí)開(kāi)放接口設(shè)計(jì),可輕松地與統(tǒng)一網(wǎng)關(guān)平臺(tái)進(jìn)行對(duì)接,為客戶提供安全靈活的組網(wǎng)部署方案。
網(wǎng)絡(luò)安全防護(hù)方案3
1互聯(lián)網(wǎng)安全現(xiàn)狀
隨著互聯(lián)網(wǎng)技術(shù)在我國(guó)廣泛應(yīng)用與日漸成熟,計(jì)算機(jī)在人們的生產(chǎn)生活中作用逐漸凸顯,并且成為未來(lái)一段時(shí)間內(nèi)我國(guó)的高精尖需求。個(gè)人生活、企業(yè)管理、工業(yè)生產(chǎn)、政府與國(guó)家部門中都廣泛運(yùn)用計(jì)算機(jī)技術(shù)開(kāi)展工作。由于網(wǎng)絡(luò)社會(huì)中具有極強(qiáng)的靈活性和共享性,導(dǎo)致設(shè)備極易受到來(lái)自黑客、木馬、網(wǎng)絡(luò)的攻擊,影響網(wǎng)絡(luò)安全與健康。怎樣保證互聯(lián)網(wǎng)安全問(wèn)題已經(jīng)成為我國(guó)乃至世界范圍內(nèi)高度關(guān)注的問(wèn)題。現(xiàn)階段,世界上各個(gè)領(lǐng)域都通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)系在一起,信息技術(shù)的發(fā)展與完善也逐漸呈現(xiàn)多元化、全球化的發(fā)展趨勢(shì),這便要求全球領(lǐng)域針對(duì)互聯(lián)網(wǎng)市場(chǎng)的安全性展開(kāi)研究和整合,進(jìn)而保障信息社會(huì)的安全性。網(wǎng)絡(luò)安全技術(shù)工作的核心環(huán)節(jié)是怎樣有效提升介入控制,保障終端數(shù)據(jù)安全性,其中需要使用的有物理安全分析技術(shù)、網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)、系統(tǒng)安全技術(shù)等手段。在互聯(lián)網(wǎng)社會(huì)逐漸發(fā)展的今天,提升網(wǎng)絡(luò)安全性具有十分重要的作用,這不僅關(guān)系到網(wǎng)民個(gè)體的人身安全,還關(guān)系著眾多平臺(tái)經(jīng)營(yíng)管理,甚至是國(guó)家與集體的利益等等。我國(guó)互聯(lián)網(wǎng)賬戶在使用的過(guò)程中面臨著眾多問(wèn)題與挑戰(zhàn)。在以上研究的安全事故中,出現(xiàn)賬號(hào)密碼被盜現(xiàn)象最為明顯。維護(hù)網(wǎng)絡(luò)安全需要協(xié)調(diào)政府、企業(yè)、個(gè)人等不同環(huán)節(jié)中的力量,引導(dǎo)網(wǎng)民重視個(gè)人信息的防范和維護(hù),提升自我保護(hù)意識(shí)與能力,增強(qiáng)對(duì)網(wǎng)絡(luò)信息的識(shí)別和判斷能力,以網(wǎng)民為基礎(chǔ)增添網(wǎng)絡(luò)社會(huì)的安全性。根據(jù)本次調(diào)研能夠看出,48%左右網(wǎng)民認(rèn)為當(dāng)下網(wǎng)絡(luò)環(huán)境較為安全,值得網(wǎng)民信任和使用,而49%左右網(wǎng)民則認(rèn)為網(wǎng)絡(luò)社會(huì)中存在很多不安定因素,影響網(wǎng)民的生活與信息安全,隨著消費(fèi)者信息泄露,互聯(lián)網(wǎng)環(huán)境也造成了眾多消費(fèi)者的不信任。由此可見(jiàn),當(dāng)下互聯(lián)網(wǎng)社會(huì)中的不安定因素對(duì)網(wǎng)民生活的影響是十分重要的,應(yīng)當(dāng)利用多樣化的安全教育與引導(dǎo)提升網(wǎng)民安全意識(shí),增強(qiáng)其在互聯(lián)網(wǎng)活動(dòng)中的認(rèn)知感。在網(wǎng)絡(luò)社會(huì)的建設(shè)過(guò)程中也需要通過(guò)不同方面建立完善的保護(hù)系統(tǒng),為廣大網(wǎng)民營(yíng)造健康、積極、和諧的互聯(lián)網(wǎng)環(huán)境。
2流量分析系統(tǒng)設(shè)計(jì)
隨著我國(guó)經(jīng)濟(jì)化建設(shè)逐漸深化,網(wǎng)絡(luò)安全也需要加以保障。根據(jù)我國(guó)當(dāng)下網(wǎng)絡(luò)社會(huì)發(fā)展現(xiàn)象而言,網(wǎng)絡(luò)安全的核心內(nèi)容便是提升網(wǎng)絡(luò)中的信息安全。廣義上的信息安全指的是網(wǎng)絡(luò)社會(huì)中蘊(yùn)含的全部信息資源的安全性、穩(wěn)定性、真實(shí)性與可用性。
2.1網(wǎng)絡(luò)與流量分析系統(tǒng)的關(guān)聯(lián)性
現(xiàn)階段網(wǎng)絡(luò)安全維護(hù)設(shè)備的運(yùn)作流程是進(jìn)行數(shù)據(jù)接入、識(shí)別、整合等,進(jìn)而實(shí)現(xiàn)對(duì)數(shù)據(jù)的處理。對(duì)于硬件資源的依賴程度和消耗量較大。流量分析指的是對(duì)現(xiàn)階段網(wǎng)絡(luò)數(shù)據(jù)安全進(jìn)行物理學(xué)上的分析和分類,將數(shù)據(jù)實(shí)現(xiàn)1—4層不等的處理,以及亂序排列等功能,進(jìn)而能夠?qū)⒎⻊?wù)器中的資源全部應(yīng)用與數(shù)據(jù)深度整合與處理,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的安全管控。
2.2網(wǎng)絡(luò)流量分析系統(tǒng)部署
計(jì)算機(jī)惡意攻擊是黑客通過(guò)一臺(tái)電腦進(jìn)行一對(duì)多的命令與控制,這樣一來(lái)對(duì)移動(dòng)終端中的客戶自身的網(wǎng)絡(luò)操作產(chǎn)生嚴(yán)重的影響,在小規(guī)模的僵尸網(wǎng)絡(luò)影響下能夠?qū)我坏慕K端產(chǎn)生極為嚴(yán)重的影響,而大量的僵尸網(wǎng)絡(luò)入侵則會(huì)影響區(qū)域內(nèi)眾多終端的正常使用,甚至造成網(wǎng)絡(luò)癱瘓。一部分惡意攻擊的形式是將移動(dòng)終端地址進(jìn)行惡意更改,偽造虛假的IP地址進(jìn)行終端惡意操作,這種情況下移動(dòng)終端會(huì)被網(wǎng)絡(luò)黑客強(qiáng)行控制,用戶自身信息也會(huì)被迫泄露。出現(xiàn)這類情況主要原因是用戶所使用的APP中存在漏洞,導(dǎo)致不法分子有機(jī)可乘,篡改終端地址、惡意入侵。在通常意義上網(wǎng)絡(luò)安全防護(hù)指的是通過(guò)防火墻開(kāi)展的,防火墻能夠有效控制通過(guò)防火墻的數(shù)據(jù)流,以允許、拒絕和重定幾種不同的選項(xiàng)展開(kāi)數(shù)據(jù)流控制,進(jìn)而能夠?qū)M(jìn)出網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行詳細(xì)控制,繼而提升網(wǎng)絡(luò)抵抗攻擊能力。
2.2.1系統(tǒng)網(wǎng)絡(luò)架構(gòu)在傳統(tǒng)防火墻之外進(jìn)行網(wǎng)絡(luò)流量分析平臺(tái)能夠?qū)崿F(xiàn)防火墻與流量分析的聯(lián)合作用,在防范網(wǎng)絡(luò)安全攻擊的基礎(chǔ)上還能夠?qū)崿F(xiàn)抵制網(wǎng)絡(luò)威脅的作用。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。數(shù)據(jù)分流設(shè)備將其流量復(fù)制一份網(wǎng)路流量通過(guò)外網(wǎng)routeA到達(dá)數(shù)據(jù)分流設(shè)備,經(jīng)源IP、源端口、應(yīng)用協(xié)議過(guò)濾和目的IP目的端口,另復(fù)制一份流量按照五元組ACL規(guī)則對(duì)流量進(jìn)行區(qū)分輸出至數(shù)據(jù)分析服務(wù)器然后通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)數(shù)。服務(wù)器對(duì)獲取的數(shù)據(jù)進(jìn)行人工或已設(shè)定條件的程序分析。過(guò)濾通往防火墻的網(wǎng)絡(luò)流量對(duì)數(shù)據(jù)分流設(shè)備生成新的ACL規(guī)則,以防止內(nèi)網(wǎng)遭受攻擊。
2.2.2數(shù)據(jù)分流設(shè)備定位防火墻運(yùn)作的過(guò)程中實(shí)行全覆蓋防御,防御范圍較為局限,難以對(duì)未知的層次攻擊展開(kāi)有效抵抗。隨著信息化發(fā)展程度不斷提升,防火墻自身的'性能已經(jīng)難以應(yīng)對(duì)互聯(lián)網(wǎng)入侵現(xiàn)象。數(shù)據(jù)分流設(shè)備能夠在數(shù)據(jù)數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層進(jìn)行數(shù)據(jù)整合與研究。根據(jù)硬件設(shè)備之間的差異,流量設(shè)備也會(huì)產(chǎn)生一定的變化,現(xiàn)階段其最佳處理能力是單端口1006,總計(jì)帶寬1T。
2.3數(shù)據(jù)分流設(shè)備功能模塊
計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)流量通過(guò)接口模塊將數(shù)據(jù)包送入設(shè)備進(jìn)行處理,計(jì)算機(jī)網(wǎng)絡(luò)也能夠在此基礎(chǔ)上實(shí)現(xiàn)鄰層交換。數(shù)據(jù)包在此完成物理層及數(shù)據(jù)鏈路層檢測(cè),進(jìn)行分流設(shè)備設(shè)計(jì)過(guò)程中,可以依照功能與系統(tǒng)進(jìn)行模塊整體劃分,包括以太網(wǎng)數(shù)據(jù)包最小字節(jié)檢測(cè)、jabber幀檢測(cè)、接口緩存區(qū)溢出檢測(cè)、線路信號(hào)檢測(cè)等。
3系統(tǒng)仿真測(cè)試與結(jié)果分析
網(wǎng)絡(luò)攻擊對(duì)軟件系統(tǒng)中的數(shù)據(jù)造成十分嚴(yán)重影響的本質(zhì)是一部分網(wǎng)絡(luò)攻擊是針對(duì)平臺(tái)中建設(shè)漏洞和安全隱患展開(kāi)的。根據(jù)現(xiàn)階段對(duì)網(wǎng)絡(luò)攻擊的研究能夠采用一部分硬件設(shè)備和網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊防范。但是在最近一段時(shí)間中,網(wǎng)絡(luò)攻擊技術(shù)自身也出現(xiàn)了顯著的變化,攻擊工具逐漸復(fù)雜化,安全漏洞在網(wǎng)絡(luò)事故中頻頻出現(xiàn),防火墻滲透現(xiàn)象逐漸明顯,攻擊流程逐步轉(zhuǎn)向自動(dòng)化。以上現(xiàn)象都要求人們?cè)诰W(wǎng)絡(luò)安全防控方面加以重視,并且創(chuàng)新防控措施。
3.1仿真實(shí)驗(yàn)環(huán)境
無(wú)論當(dāng)下網(wǎng)絡(luò)攻擊的形式怎樣變化,在進(jìn)行網(wǎng)絡(luò)維護(hù)的同時(shí)能夠得到數(shù)據(jù)包并且加以分析,便能夠得出較為真實(shí)的反應(yīng)軟件漏洞問(wèn)題,進(jìn)而得出化解網(wǎng)絡(luò)攻擊的最佳形式。現(xiàn)階段數(shù)據(jù)分析設(shè)備應(yīng)當(dāng)具備以下幾個(gè)方面的功能。(1)識(shí)別主流數(shù)據(jù)報(bào)文。(2)未知報(bào)文輸出。(3)至少達(dá)到線路帶寬的網(wǎng)絡(luò)吞吐能力。由此可見(jiàn),廣域網(wǎng)出入口進(jìn)行數(shù)據(jù)復(fù)制主要是使用分光器,在數(shù)據(jù)整合與分析設(shè)備中實(shí)現(xiàn)數(shù)據(jù)分類輸出,能夠?yàn)楹笈_(tái)設(shè)備提供更加便捷的數(shù)據(jù)支持,進(jìn)而能夠有效抵制網(wǎng)絡(luò)攻擊現(xiàn)象。
3.2流量仿真實(shí)驗(yàn)
在PC端利用wireshark網(wǎng)絡(luò)數(shù)據(jù)包分析工具對(duì)數(shù)據(jù)包進(jìn)行分析,通過(guò)分流設(shè)備將數(shù)據(jù)包輸出至后端PC,并通過(guò)對(duì)比TestCenter所發(fā)數(shù)據(jù)包與PC端接收數(shù)據(jù)包是否一致。
3.2.1數(shù)據(jù)流量分流設(shè)備專用設(shè)備通過(guò)既定規(guī)則將流量重定向至PC機(jī),然后用TestCenter構(gòu)造正常tcp數(shù)據(jù)包,當(dāng)數(shù)據(jù)包進(jìn)入專用設(shè)備后PC機(jī)通過(guò)wireshark數(shù)據(jù)包分析軟件抓包對(duì)比數(shù)據(jù)包差異性。
3.2.2仿真實(shí)驗(yàn)配置此次在其length字段配置了一個(gè)非法長(zhǎng)768的文件,構(gòu)造了一個(gè)為二層IEEE802.3Ethernet數(shù)據(jù)結(jié)構(gòu)的包頭。
4結(jié)語(yǔ)
傳統(tǒng)網(wǎng)絡(luò)防范主要是針對(duì)已知網(wǎng)絡(luò)風(fēng)險(xiǎn)與威脅的抵抗,主要作用是只允許無(wú)害流量通過(guò),難以保障整體網(wǎng)絡(luò)環(huán)境的安全和穩(wěn)定。對(duì)于入侵系統(tǒng)的研究?jī)H僅是在保障網(wǎng)絡(luò)安全方面能夠加以預(yù)防,難以從本質(zhì)上避免網(wǎng)絡(luò)環(huán)境遭到攻擊,具有一定不確定因素。流量模型構(gòu)建過(guò)程中能夠與傳統(tǒng)的網(wǎng)絡(luò)防范產(chǎn)生一定差異,在吸收其中具有先進(jìn)意義的防御手段基礎(chǔ)上,能夠極大程度增添網(wǎng)絡(luò)設(shè)備的安全性與抵抗入侵的能力。網(wǎng)絡(luò)數(shù)據(jù)流量分析建立在人工分析數(shù)據(jù)中,而后的研究重點(diǎn)則是利用關(guān)鍵字完成流量傳輸工作,依靠詳細(xì)的服務(wù)器分析,發(fā)現(xiàn)危險(xiǎn)因素并發(fā)送給防火墻系統(tǒng)。利用特種數(shù)據(jù)分析平臺(tái)能夠有效實(shí)現(xiàn)防火墻聯(lián)動(dòng)工作,提升網(wǎng)絡(luò)安全加大對(duì)這一領(lǐng)域的不斷探索,爭(zhēng)取創(chuàng)造一個(gè)更加安全的網(wǎng)絡(luò)環(huán)境,進(jìn)一步促進(jìn)國(guó)民經(jīng)濟(jì)的發(fā)展和信息技術(shù)的持續(xù)進(jìn)步;實(shí)現(xiàn)網(wǎng)絡(luò)信心技術(shù)的全球化和專業(yè)化。
【網(wǎng)絡(luò)安全防護(hù)方案】相關(guān)文章:
高壓線防護(hù)方案03-20
基礎(chǔ)越冬防護(hù)方案03-15
網(wǎng)絡(luò)安全方案02-08
網(wǎng)絡(luò)安全方案12-27
高壓線防護(hù)方案3篇04-02
基礎(chǔ)越冬防護(hù)方案11篇03-15
基礎(chǔ)越冬防護(hù)方案12篇03-15