网络安全的现状分析和应采取的安全措施

《宁夏电力）２００７年增刊（１　ｌ　网络安全的现状分析和应采取的安全措施　许沙　（宁夏电力通信公司，银川市７５０００１）　摘要：　网络的发展和技术的提高给网络安全带来了很大的冲击，网络的安全成了新的信息安全的热点，本　文通过对宁夏电力通信公司所维护网络的网络安全的现状分析，找出了网络中仍然存在的安全威胁，提出了　宁夏电力通信公司网络安全的整体实施措施，为网络安全的下一步如何防护和管理指明了方向。　关键词：　网络安全；安全分析；安全措施　中图分类号：ｒＨ￣３９３．１８　文献标志码：Ｂ　文章编号：１６７２—３６４３（２００７）ｚｋｌ一０１１６—０４　Ａｎａｌｙｓｉｓ　ｏｎ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ，ｓ　ｐｒｅｓｅｎｔ　ｓｉｔｕａｔｉｏｎ　ａｎｄ　ａｄｏｐｔｅｄ　ｓｅｃｕｒｉｔｙ　ｍｅａｓｕｒｅｍｅｎｔ　ＸＵ　Ｓｈａ　（Ｎｉｎｇｘｉａ　Ｅｌｅｃｔｒｉｃ　Ｐｏｗｅｒ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｃｏｒｐｏｒａｔｉｏｎ，Ｙｉｎｃｈｕａｎ　７５０００１，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｔｈ　ｅ　ｎｅｔｗｏｒｋ　ｄｅｖｅｌｏｐｍｅｎｔ　ａｎｄ　ｔｈｅ　ｔｅｃｈｎｉｃａｌ　ｅｎｈａｎｃｅｍｅｎｔ　ｂｒｉｎｇｓ　ｉｍｐａｃｔ　ｆｏｒ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ，ＳＯ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｈａｓ　ｂｅｃｏｍｅ　ｔｈｅ　ｈｏｔ　ｓｐｏｔ　ｏｆ　ｒｅｃｅｎｔ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ．Ｔｈｒｏｕｇｈ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｐｒｅｓｅｎｔ　ｓｉｔｕａｔｉｏｎ　ｎａａｌｙｓｉｓ　ｏｆ　ｍａｉｎｔａｉｎｅｄ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｔｏ　Ｎｉｎｇｘｉａ　ｅｌｅｃｔｉｃ　ｐｏｗｅｒ　ｒｃｏ￣ｅｓｐｏｎｄｅｎｃｅ　ｃｏｍｐａｎｙ，ｄｉｓｃｏｖｅｒｓ　ｔｈｅ　ｓａｆｅ　ｔｈｒｅａｔ　ｔｈａｔ　ｓｔｉｌｌ　ｅｘｉｓｔｅｄ　ｉｎ　ｔｈｅ　ｎｅｔｗｏｒｋ，ｐｒｏｐｏｓｅｄ　ｗｈｏｌｅ　ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｍｅａｓｕｒｅｍｅｎｔ　ｏｆ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｉｎ　Ｎｉｎｇｘｉａ　ｅｌｅｃｔｒｉｃ　ｐｏｗｅｒ　ｃｏｒｒｅｓｐｏｎｄｅｎｃｅ　ｃｏｍｐａｎｙ．Ｉｎｄｉｃａｔｅｄ　ｔｈｅ　ｄｉｒｅｃｔｉｏｎ　ｆｏｒ　ｎｅｘｔ　ｓｔｅｐ　ｏｆｎｅｔｗｏｒｋ　ｅｃｕｒｓｉｔｙ　ｐｒｏｔｅｃｔｉｏｎ　ａｎｄ　ｍａｎａｇｅｍｅｎｔ．　Ｋｅｙ　ｗｏｒｄｓ：ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ；ｓｅｃｕｒｉｔｙ　ａｎａｌｙｓｉｓ；ｓｅｃｕｒｉｔｙ　ｍｅａｓｕｒｅｍｅｎｔ　１　引言　随着互联网的飞速发展及其应用的普及，充分利用网络　资源的便捷和高效等特点，以网络推动企业业务的飞速发展，　已经成为许多企业所关注并开始实施的工作内容。在机遇面　前，网络的安全管理和维护就成为了—个极大的挑战。如何在　搭建—个高效的网络体系的同时构筑网络的安全壁垒，是保证　网络可靠、稳定运行的基本条件。网络安全逐渐成为—个潜在　的巨大问题，如何解决现有计算机网络存在的诸多安全问题，　是保证目前网络可靠、稳定运行的根本。　２　宁夏电力通信公司互联网的安全现状　２．１概述　宁夏电力通信公司维护的互联网络由两部分组成，分　别是其内部家庭网、办公网和满足互联网接人需要的外部　网络。内部办公网通过防火墙接人ＩＮＴＥＲＮＥＴ，满足办公业　务对互联网接人的需求。内部家庭网主要用于满足内部家　庭接人ＩＮＴＥＲＮＥＴ的需求，通过认证经过防火墙和入侵检　测设备，接人互联网实现家庭用户的网络应用需求。它们均　通过负载均衡器接人ＩＮＴＥＲＮＥＴ，实现双ＩＳＰ出口链路的　宁夏电力通信公司维护的互联网络已基本建成，随着　网络设备的不断完善和系统的不断优化，如何做好网络的　安全防护工作，是保证网络可持续发展的基础。　负载均衡，拓扑图如图１所示。　２．２宁夏电力互联网安全现状分析　由图１可以看出，已从以下几个方面对网络的安全防　收稿日期：２００７—０６—２５　作者简介：许沙（１９８０一），女，助理工程师，从事电力通信工作。　・１１６・　维普资讯 http://www.cqvip.com 《宁夏电力）２００７年增刊（１）　网络安全的现状分析和应采取的安全措施　办公网应用服务器　办公网终端用户　家庭网应用服务器　家庭网终端用户　图ｌ　宁夏电力通信公司互联网网络拓扑　护进行了部署。　实时告警监控功能，当设备出现了如链路中断、端口告警以　２．２．１关键设备以及出口链路的冗余备份　及ＣＰＵ过载等故障时，负载均衡设备将向网管系统送出告　网络通过２条不同的ＩＳＰ链路接入到Ｉｎｔｅｍｅｔ中，为了　警信息，值班人员将实时告警信息通知到网络管理员，网络　保证多链路接入的可靠工作，在网络的出口采用了２台多　管理员在最短的时间内接到通知并进行处理，缩短了故障　链路负载均衡设备，其主要作用是实现多ＩＳＰ链路接入时　的处理时间，提高了工作效率。　故障链路自动切换功能，保证系统出现一条ＩＳＰ链路故障　２．２．４家庭网的出口防火墙的部署　时。可以将网络内的所有流量自动切换到另一条ＩＳＰ链路　防火墙是用来实现一个组织机构的网络安全措施的主　上，而且还实现了网络中流量的负载均衡，提高了链路带宽　要设备。它提供了信息安全服务，实现网络信息安全的基础　资源的利用率。　设施。宁夏电力通信公司在家庭网所部署的防火墙是基于　多链路负载均衡设备作为系统中比较重要的硬件设　状态检测防火墙。这种防火墙克服了包过滤防火墙和应用　备，采用了２台设备，通过１＋１的主备（Ａｃｔｉｖｅ＋Ｓｔａｎｄｂｙ）－１－　代理防火墙的局限性。它主要是根据协议、端口及源地址、　作方式，作为另一台设备的备份及切换，当主用设备出现如　目的地址的具体情况来决定数据包是否可以通过。对于每　硬件故障、环境事故或者人为操作失误导致设备故障时，系　个策略允许的请求，状态监测防火墙只在同一台主机上打　统将网络内的所有流量自动切换到备用的设备上，保证系　开一个限时的窗口，并且通过保留前一个数据包的信息。　统安全、稳定的工作。　宁夏电力通信公司在采用了防火墙后，解决了以下问　２．２．２　ＩｓＰ接入链路的传输通道冗余备份　题：为家庭网络提供了安全屏障；通过不同的策略，控制对　由于以前ＩＳＰ接入链路的光纤传输电路均为单方向，　系统的访问；对网络存取和访问进行监控审计；防止内部信　如果光纤电路出现问题时，将造成该ＩＳＰ链路的通信中断。　息的外泄。　为了保证ＩＳＰ接入链路的可靠运行，在今年的８月份，宁夏　２．２．５家庭网入侵检测设备的部署　电力通信公司对两条接入的ＩＳＰ链路进行了光纤传输电路　家庭网部署的入侵监测设备是Ｊｕｎｉｐｅｒ—ＩＤＰ设备，采用　的改造工作，由以前的单光纤传输电路方式改成了现在的　了先进的ＩＤＰ（入侵检测和防护）技术。具有以下功能：多重　光纤电路复用环保护方式，避免了ＩＳＰ接入链路由于传输　方法检测技术（Ｍｕｈｉ—Ｍｅ￣ｏｄ　Ｄｅｔｅｃｔｉｏｎ，ＭＭＤ），８种不同的　电路故障造成通信中断的情况。　检测方法以强化检测力，同时减少错误报警，这些检测方法　２．２＿３多链路负载均衡设备的实时监控　包括协议异常检测、流量异常检测，以及一些专利技术如：　多链路负载均衡设备作为网络中的重要设备，已经通　状态签名（Ｓｔａｔｅｆｕｌ　Ｓｉｇｎａｔｕｒｅ）、后门检测Ｂａｃｋｄｏｏｒ　Ｄｅｔｅｃｔｉ０ｎ１　过ＳＮＭＰ技术实现了和宁夏电力通信公司综合网管系统的　等；Ｊｕｎｉｐｅｒ－ＩＤＰ是一个带内解决方案，它是唯一能对付潜　・ｌ】７・　维普资讯 http://www.cqvip.com 《宁夏电力》２０ｏ７年增刊（１）　逃技术、提供真正入侵防护的方法；基于规则的式管理　网络安全的现状分析和应采取的安全措施　窃取内部网的重要信息。　３．３数据传输安全风险分析　的构架，集中管理使管理员能将Ｊｕｎｉｐｅｒ－ＩＤＰ控制在非常精　确的水平上，同时简化安全策略和签名更新的作业。　家庭网采用人侵检测设备是对出口防火墙的合理补　宁夏电力通信公司网络采用ＴＣＰ／ＩＰ技术构成开放、互　联网络，因此，它非常容易受到各种信息安全事件的干扰。　基于数据流设计的ＴＣＰ／ＩＰ协议自身存在着许多安全漏洞，　在Ｉｎｔｅｍｅｔ发展的早期，由于应用范围和技术原因，没有引　起重视。但这些安全漏洞正日益成为黑客们的攻击点。在企　充，帮助系统对付网络攻击，扩展了系统管理员的安全管理　能力（包括安全审计、监视、进攻识别和响应），提高了信息　安全基础结构的完整性。在不影响网络性能的情况下能对　网络进行监测，从而提供对内部攻击、外部攻击和误操作的　业信息管理、办公自动化、电子商务、网上交易等活动中，对　实时保护。　ＴＣＰ／ＩＰ网络服务的任一环节的攻击，都有可能威胁到用户　入侵检测设备的部署为防火墙的安全防护提供了很好　机密信息、密码等敏感数据的安全传送。因此，针对网络层　的安全协助功能，进一步保证了家庭网的安全、稳定运行。　安全协议的攻击将给网络带来严重的后果。　３．４系统层安全威胁分析　３　宁夏电力通信公司互联网的安全威胁分析　系统层的安全威胁主要从操作系统平台的安全威胁进　行分析：　３．１物理层安全威胁分析　操作系统安全也称主机安全，由于现代操作系统的代　这里提到的物理层指的是整个网络中存在所有的信息　码庞大，从而不同程度上都存在一些安全漏洞。一些广泛应　如机房、通信线路、网络设备、安全设备等。保证计算机信息　用的操作系统，如Ｕｎｉｘ，Ｗｉｎｄｏｗ　ＮＴ／２０００，其安全漏洞更是　系统各种设备的物理安全是保障整个网络系统安全的前　广为流传。另一方面，系统管理员或使用人员对复杂的操作　提。然而，这些设备都面临着地震、水灾、火灾等环境事故以　系统和其自身的安全机制了解不够，配置不当也会造成安　及人为操作失误或错误及各种计算机犯罪行为导致的破坏　全隐患。操作系统自身的脆弱性将直接影响到其上所有应　过程，设备安全威胁主要包括设备的被盗、恶意破坏、电磁　用系统的安全性。　信息辐射泄漏、线路截获监听、电磁干扰、断电、服务器宕机　宁夏电力通信公司维护的家庭网由于用户终端计算机　以及物理设备的损坏等等。这些都对整个网络的基础设备　系统的多样性和复杂性，入侵监测设备只是检测到该终端　及上层的各种应用有着严重的安全威胁，这些事故一旦出　存在安全漏洞，通过阻止该用户的所有网络应用请求，避免　现，就会使整个网络服务中断，给用户造成极大的损失。以　该漏洞影响到整个系统的运行，并不能主动协助进行漏洞　及外来人员及非超级管理人员可以直接对一些设备进行操　处理。所以，系统层的安全威胁也是目前一个比较主要的安　作，更改通信设备（如交换机、路由器的口令）、安全设备（如　全隐患。　更改防火墙的安全策略配置）等。　宁夏电力通信公司所维护的互联网只对关键的出口　４宁夏电力通信公司网络整体安全措施　设备多链路负载均衡设备，进行了１＋１冗余备份，除此之　外，其他网络设备仍然存在着物理层的安全威胁。而且家　宁夏电力通信公司互联网络整体安全措施，将突出地　庭宽带网中的各模块局宽带交换机的传输链路均为单链　表现为国际公认的“三元论”——即综合考虑信息安全的３　路通信，如果传输链路出现故障时，模块局和主局的通信　个要素：策略、管理和技术。　将中断。　安全策略——包括各种策略、法律法规、规章制度、技　３．２网络层安全威胁分析　术标准、管理标准等，是信息安全的最核心问题，是整个信　网络层是网络入侵者，进攻信息系统的渠道和通路。许　息安全建设的依据；　多安全问题都集中体现在网络的安全方面。大型网络系统　安全管理——主要是人员、组织和流程的管理，是实现　内运行的ＴＰＣ／ＩＰ协议并非专为安全通讯而设计，所以网络　信息安全的落实手段；　系统存在大量安全隐患和威胁。　安全技术——包含工具、产品和服务等，是实现信息安　宁夏电力通信公司网络系统可以看作由多个子网组　全的有力保证。　’　成，整体上可分为办公子网和家庭子网，每个子网都是一个　安全建设是一个不断的持续改进的过程，在这个指导　的系统，各子网之间主要存在的安全风险：内部用户的　思想上，整体安全解决方案如图２所示：　恶意攻击；通过相应攻击程序对内网进行攻击；非法登录，　・ｌ１８・　维普资讯 http://www.cqvip.com 《宁夏电力）２００７年增刊（１）　Ｒｅｓｐｏｎｓｅ（响应）　网络安全的现状分析和应采取的安全措施　和维护人员队伍，设置专门化的系统安全管理工作岗位，制　定行之有效的系统安全管理规范。除了进行日常的系统安　全管理之外，对系统故障的准确判断、能够快速排除故障、　建立有效的系统灾难处理机制、恢复系统数据、恢复系统正　常工作状态策略，这些都是不能忽略的。　５　结束语　保证网络的安全是网络可靠运行的关键，也是基础，所　图２　以，提高网络的安全性管理是一件循序渐进的工作，要根据　图２中的策略、保护、检测、响应、恢复和改善组成的完　网络的发展不断调整网络的安全策略，建立有效的网络安　整模型体系，这个模型的特点就是动态性和可管理性，可以　全防范体系，明确安全防范的层次结构和系统设计的基本　说对信息安全的“相对性”给予了很好地描述。　原则，分析网络系统的各个不安全环节，找到安全漏洞，做　按照Ｐ２ＤＲ３模型，宁夏电力通信公司信息系统安全建　到有的放矢，从而保证宁夏电力通信公司所维护和管理的　设方案可以最大限度地保护信息不受诸多威胁的侵犯，确　互联网络系统更加的安全、可靠地运行。　保业务运行的连续性，将损失和风险降低到最小程度。在安　全策略的基础之上划分了管理安全、应用与系统安全、网络　参考文献：　安全和物理安全等多个层次对信息进行保护、检测、响应、　［１］　赵小林．网络安全技术教程［Ｍ］．北京：国防工业出版社，２００６．　恢复和改善，具体内容见图３。　［２］李伟．网络安全实用技术标准教程［Ｍ］．北京：清华大学出　要保证系统安全，还要培养和建立专业化的系统管理　版社。２００５．　管理安全　应用安全　系统安全　网络安全　物理安全　安全规章、制度、标准　身份认证　防火墙　＿环境隔离　保护　安全组织　数字签名　身份认证　代理服务器　门禁系统　人力资源　权限控制　权限控制　访问控制列表　消防系统　组件访问权限　加密　扫描器　温、湿度控制系统　防毒软件　冗灾系统　文件、程序的散列签名　登录控制　网络入侵检测　监控中心’　检测　违规作业统计　应用程序日志　审计日志　漏洞检测　感应探测装置　文件签名　病毒检测　布告　响应　制订好紧急响应的方案　事件通知　接人控制　审计　事件响应　审查　自动调节装置　】｛　　安全流程变更　数据备份　系统升级　反击、控制　硬件系统　１　组织调整　数据恢复　打补订　弥补自身漏洞　软件系统　人员技能培训　防火墙规则更新　授权更新　改善　修订安全制度　权限更新　权限更新　ＡＣＬ更新　更换设备　修订服务水平　代理机制　病毒码更新　图３　・ｌｌ９・