网络工程安全性的保证措施.doc

网络工程安全性的保证措施进入21世纪以来，随着计算机及计算机网络技术的不断向前发展，网络工程的安全性越来越被人关注，网络安全的重要性正随着全球信息化步伐的加快而变得越来越重要。从大的方面来讲，它是关系到国家安全和国家机密的重要问题，从小的方面来讲，它关系到一个企业、公司的命脉。因为随着电子化办公的普及，企事业单位极为重要的人事、财务、科研等数据资料，都存放在计算机网络中，没有了网络安全性，必将对企事业单位造成灾难性的后果。因此对与网络工程安全性的研究有着极其重要的意义。网络安全从其本质上讲就是网络上的信息安全。从广义上来说，凡是涉及到网络上信息的保密性、可用性、完整性、真实性和可控性的技术和理论都是网络安全的研究领域。从用户的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改等手段侵犯用户的利益和隐私。网络安全技术，既包括硬件物理方面的安全技术，也包括软件方面的安全技术。所谓物理方面的技术主要是：保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源(UPS)等措施。特别是设备机房的建设应该满足相关标准。其次是访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。软件方面的安全技术主要是指为了防止计算机网络病毒，安装网络防病毒系统，信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如防火墙技术，防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限， 从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等。网络工程主要针对办公规模大，一般在100个终端以上的网络环境。这些用户单位对网络的需求很全面，比如文档资料的共享、软件资源的共享、打印机等硬件资源的共享、服务器账户的管理、终端用户的安全认证、Internet的接入、数据远程传输、硬件系统热冗余配置、系统服务不中断、专业的网络管理、信息发布等。这些用户单位一般规模较大，对网络设备及安全产品的资金投入重在性能和安全性，管理人员常采用专职工作的方式。网络操作系统是计算机各类软件运行的基础，因此网络操作系统的安全性关系到整个网络和网络硬件平台的安全性。可是目前没有并绝对安全的操作系统可以供用户使用，可选择的系统范围也很小，对于现在通用的Windows操作系统，它也有很多的安全漏洞问题，但是它带给我们的方便快捷、应用平台等好处我们已经不能缺少，因此面对并不太安全的网络环境，我们应该做的就是，紧密关注操作系统厂家的安全更新和安全建议，自觉提高自己的安全意识，积极主动地解决系统中出现的安全问题。而对于网络硬件平台的安全性，网络硬件的厂家已经非常多，我们可以选择的范围也大很多。为了保证网络工程的安全性，主要从以下几个方面采取措施。首先，网络系统在各个边界采用防火墙系统，并使用与网络防火墙系统联动的专用入侵检测系统(IDS)对服务器与重点保护网段加以监控、记录，并与防火墙一起构成一个动态的防御、报警系统，这是现今网络系统首先必须的配置。其次，将计算机网络病毒防护系统架构在多种平台的服务器群上：HPUX(分别安装Lotus Domino、用户邮件系统、oracle)、Linux(安装Web、TRS) ， SUN SolariS(DNS) ， Windows NT2000Server上，构成一个病毒防护系统。第三，使用一套网络安全扫描系统定期检查整个网络交换平台上主要网络设备、服务器、操作系统的安全漏洞，并建议安全措施，以达到不断增强网络安全性的目的。网络工程系统中的安全扫描主要有两种：一、采用网络安全扫描的网络扫描器，对网络设备进行自动的安全漏洞检测和分析，并且在执行过程中支持基于策略的安全风险管理过程。此外，执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、web服务器、防火墙和应用程序的检测，从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息，包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息，并跟随开放的网络应用和迅速增长的网络规模而相应地改变。二、采用基于主机的安全评估的系统扫描。与网络扫描的区别在于它提供了基于主机的安全评估策略来分析系统漏洞。网络扫描是在网络层扫描各种设备来发现安全漏洞，系统扫描是在系统层上通过依附于主机上的扫描代理侦测主机内部的漏洞。这些扫描代理的安全策略可以通过系统扫描控制台进行集中管理和配置。系统扫描在相当严格的基础上对安全风险级别进行划分。一旦系统被确认处于安全的状态后，系统扫描会用一种数字指纹锁定系统配置，以便更容易发现非法访问。数据库扫描是针对数据库管理系统风险评估的检测工具。能够利用它来建立数据库的安全规则，通过运行审核程序来提供有关安全风险和位置的简明报告。在网络工程中，既有允许被内部网络和外部网络同时访问的一些应用服务器如WWW服务器、E-mail服务器等，也有只允许网络内部之间进行通信，不可以外部网络访问的内部网络。因此，对应用服务器和内部网络应该采用不同的安全策略。我们可以采用屏蔽子网结构，将应用服务器放置在屏蔽子网机构中的DMZ区域内，由外部防火墙保护，内部网络和外部网络的用户都可以访问该区域。内部网络除了外部防火墙的保护外。然后采用代理服务器对内部网络进行更加深一些层的保护。通过核心交换机的路由功能将想要进入内部网络的数据包路由到代理服务器中，由包过滤原则。过滤一些内部网络不应看到的网站信息等。内部路由器将所有内部用户到因特网的访问均路由到代理服务器，代理服务器进行地址翻译。为这些用户提供服务，以此屏蔽内部网络。这种结构使得应用服务器与内部网络采用不同级别的安全策略，既实现网络工程的需求，也保护了网络工程的安全。网络工程中的安全性既要考虑到现有的各项应用业务系统、对外网站、信息管理系统、信息中心