糖厂网络安全研究论文
性控制等,各种安全策略必须相互配合才能真正起到保护作用。
对于糖厂的网络系统而言,其访问控制可分为对内访问控制和对外访问控制。对外访问控制指外部用户必须经过防火墙才能访问内部网络资源,防火墙一般由过滤路由器、代理服务器或堡垒主机组成,过滤路由器根据tcp/ip报头来过滤信息,然后把信息转发到堡垒主机,堡垒主机再根据不同的应用协议转发信息流。这种体系结构下的防火墙提供了多层安全保护,因此是比较安全的。因为很多安全问题都来自内部,因此必须对网络内部用户的访问采取适当的控制措施,下图是网络内部用户对网络资源的访问控制模型。
3.2把较新的网络安全技术应用在网络系统中在糖厂局域网的建设与治理中,要逐步融入一些网络安全新技术,使网络系统更加安全可靠。目前常用的网络安全技术主要有数据加密、身份验证,存取控制、虚拟网络、防火墙技术等,此外还有入侵检测技术、蜜罐技术、取证技术、物理隔离技术等几种新的网络安全技术。入侵检测系统(ids)是主动保护系统免受攻击的一种网络安全技术,当前已经出现了不少实用的入侵检测系统。蜜罐(honeypot)是诱骗攻击者的一种有效方法,它可以查找并发现新型的攻击工具,解决了ids无法对新型攻击快速作出反应的缺点。蜜网(honeynet)作为一种研究型蜜罐,是目前获取攻击者信息的主要来源之一。同时,基于ids和蜜罐的计算机取证技术也得到了发展,开发了很多计算机取证的工具,如encase、safeback等。物理隔离技术是近几年出现的一个全新的安全防御手段,正逐步成为网络安全体系中不可缺少的环节,新一代的物理隔离产品能实现动态的隔断,并能对信息进行筛选。3.3一种实用的网络安全解决方案网络安全解决方案主要包括两方面,一是风险评估,二是安全策略。安全策略是网络安全体系的核心,它包括需求分析、安全治理制度、技术防护、紧急响应等几个方面。从技术的角度看,目前网络安全技术及其产品的种类很多,从底层到应用都有相应的网络安全产品可以选用,比如瑞星公司、nod32公司的系列安全产品都能提供比较好的安全保障。保证网络设备的正常运行,非凡是保证要害业务系统的安全,是糖厂网络系统安全需求的核心,主要包括:访问控制,确保网络系统不被非法访问;数据安全,保证数据库系统的安全性和可靠性;入侵检测,对于破坏网络系统的恶意行为能够及时发现、记录和跟踪;完善的防病毒措施等。下面介绍一个对于糖厂比较完善和实用的网络安全解决方案,这个方案能比较彻底地解决糖厂局域网的安全问题,其安全网络拓扑结构如图3所示。以下具体介绍这个方案的基本策略。3.3.1设置防火墙在internet与糖厂局域网之间部署一台防火墙,其中www、e-mail、ftp、dns服务器连接在防火墙的dmz区,使内、外网相互隔离。局域网通过路由器与internet连接,外网的用户只能访问到对外公开的一些服务(如www、e-mail、ftp、dns),这样既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。防火墙技术有多种,这里最好选用状态检测型防火墙,它能在不同层中对数据进行检测,从而提高了效率,简化了规则。3.3.2设置入侵检测系统将入侵检测引擎接入核心交换机,对网络系统进行实时检测。入侵检测是防火墙之后的第二道安全闸门,在发现入侵行为后,会及时作出响应,包括切断网络连接、记录事件和报警等,扩展了系统治理员的安全治理论文指导