您现在的位置:智能制造网>技术首页>技术交流

特种计算机在网络安全上的应用

2008年10月09日 14:32来源:烟台勾股通信技术有限公司 >>进入该公司展台人气:854

  随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。宽带网作为企业主要的数据业务承载网络,特别是电子商务(E-Commerce)、企业数据专线、网络互联、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如,2003年1月份的SQL杀手蠕虫事件,中国有两万多台数据库服务器受到影响,使国内众多企业网络全部处于瘫痪或半瘫痪状态;2003年8月份的冲击波蠕虫,使成千上万的用户计算机变慢,被感染的计算机反复重启,有的还导致了系统崩溃,受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。
  随着网络安全问题重要性增加,如何设计一个稳定、可靠、安全和经济的企业网,应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为企业网络建设和运营所关注的重点。本文从网络互连七层协议、城域网的分层和网络安全管理体系三个方面来阐述宽带网络的安全性。
  [网络安全服务层次模型]
  标准化组织ISO在开放系统互连标准中定义了七个层次的网络互连参考模型,它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次有不同的功能,例如链路层负责建立点到点通信,网络层负责路由,传输层负责建立端到端的进程通信信道。相应地,在各层需要提供不同的安全机制和安全服务。
  在物理层要保证通信线路的可靠,不易被窃听。在链路层可以采用加密技术,保证通信的安全。在Internet、Intranet环境中,地域分布很广,物理层的安全难以保证,链路层的加密技术也不*适用。
  在网络层,可以采用传统的防火墙技术,如TCP/IP 网络中。采用IP过滤功能的路由器,以控制信息在内外网络边界的流动。还可使用IP加密传输信道技术IP SEC,在两个网络结点间建立透明的安全加密信道。这种技术对应用透明,提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的网。这种方法需要建立标准密钥管理,目前在产品兼容性和性能上尚存在较多问题。
  在传输层可以实现进程到进程的安全通信,如现在流行的安全套接字层SSL技术,是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程对进程的安全服务和加密传输信道,采用公钥体系做身份认证;有高的安全强度。但这种技术对应用层不透明,需要证书*中心,它本身不提供访问控制。
  针对专门的应用,在应用层实施安全机制,对特定的应用是有效的,如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件。又如用于Web的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的,缺乏通用性,且须修改应用程序。
  [企业宽带网的层次安全模型]
  企业宽带网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击,与业务相关的数据库服务器受到病毒的攻击,影响业务的正常运行,安全建设应更多地采用技术来保证网络和设备安全,并以用户管理作为辅助手段。
  安全模型将企业宽带网分成三个区域:信任域、非信任域和隔离区域(非军事区)。信任域是企业内部的基础网络,通常采用防火墙等设备与企业业务网隔离,包括企业内部的各个不同的域;隔离区域是信任域和非信任域之间进行数据交互的平台,包括企业对外提供的各种业务平台,如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是指企业之外的广泛的互联网络,是企业不能*控制的网络。作为安全模型中的非信任域,需要重点考虑。
  [企业宽带网的层次安全分析]
  1. 信任域的安全
  信任域由企业ERP系统、网管系统、财务系统等组成,是企业网安全运营的核心所在,因而,必须采取zui严密的安全措施。在一般情况下,信任域可能面临的威胁包括网络攻击、网络入侵、病毒(造成拒绝服务攻击)等。为了避免这些威胁,保证信任域的安全,可采取以下手段:
  (1)部署防火墙,制定严格的安全访问策略,严格限制对此区域的访问;
  (2)认真配置好系统软件和应用软件,跟踪操作系统和应用系统的漏洞及补丁进展情况,严格限定系统和应用所服务对象的范围;
  (3)部署网络入侵监测系统(IDS),对核心服务实施监控,对网络攻击和病毒及时报警;
  (4)建立网管系统和日志系统;
  (5)对重要的主机系统应采用双机热备份方式,对重要的应用系统和数据做好完善的备份工作,根据具体情况和需要设置灾难恢复系统。
  2. 隔离域的安全
  隔离域是企业网对外开放的平台,包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等,所有业务必须对外开放,因而安全威胁zui大,也是zui容易受到攻击的区域。为保证安全,可采取以下手段:
  (1)部署防火墙,制定安全访问策略,特别是拒绝服务攻击(DDOS);
  (2)及时修补服务器的安全漏洞,关闭不必要的网络服务等;
  (3)系统备份和日志系统等等。
  3. 非信任域的安全
  非信任域是网络业务的传输网络,主要由电信营运商负责其安全:
  企业网需要重点考虑的是隔离域的安全问题,加强设备自身的安全和日常维护流程,从技术和流程两方面来保证。
  [下面阐述如何以具体的网络设备为基层建设安全的企业网]
  目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和SSN。硬件平台具有可扩展和可升级性等特性,研祥智能科技股份有限公司专为网络行业用户研发生产了多款单网口、双网口、四网口的工业级主板,为所有的网络客户提供了完备的选择。[系统配置]
  防火墙: 机箱IPC-8101/主板NET-1711V4N/CPU P42.8/内存 256M/硬盘 160G
  路由器机箱IPC-8206/主板FSC-1715VN/CPU P4 2.0G/内存256DDR/硬盘160G
  WEB服务器:机箱IPC-8101/主板FSC-1713VNA/P4 3.0G/内存256M/硬盘160G
  终端:机箱IPC-810/主板FSC-1715VN/CPU P4 2.8G/内存256DDR/硬盘160G
  [系统评价]
  1、所有安全和服务由工业级的硬件设备完成:
  安全软件在运行、存储中是不能保障安全的,软件运行时很多重要信息都会在某个时间清晰地出现于计算机的存储器中,因而"高水平"的不法分子窃取并利用这些重要信息十分容易,所以采用由"EVOC"特种计算机搭建的硬件平台,保障了整个系统的安全。
  2.整个系统实用可靠:
  "EVOC" 特种计算机是基于PC总线的特种计算机,能满足综合业务系统的实际需要,运行可靠稳定。
  3.整体化的系统设计:
  系统不仅依靠独立的安全保密设备,而且从整个防火墙系统的安全角度进行考虑,进行了整体化的设计,保证了系统的安全性、保密性。
  4.使用方便、操作简单、维护方便。
关键词:防火墙路由器
全年征稿/资讯合作 联系邮箱:1271141964@qq.com
  • 凡本网注明"来源:智能制造网"的所有作品,版权均属于智能制造网,转载请必须注明智能制造网,https://www.gkzhan.com。违反者本网将追究相关法律责任。
  • 企业发布的公司新闻、技术文章、资料下载等内容,如涉及侵权、违规遭投诉的,一律由发布企业自行承担责任,本网有权删除内容并追溯责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。


编辑精选

更多


宣传样本推荐图书

旗下子站

工控网机器人仪器仪表物联网3D打印工业软件金属加工机械包装机械印刷机械农业机械食品加工设备制药设备仓储物流环保设备造纸机械工程机械纺织机械化工设备电子加工设备水泥设备海洋水利装备矿冶设备新能源设备服装机械印染机械制鞋机械玻璃机械陶瓷设备橡塑设备船舶设备电子元器件电气设备



关于我们|本站服务|会员服务|企业建站|旗下网站|友情链接| 兴旺通| 产品分类浏览|产品sitemap

智能制造网 - 工业4.0时代智能制造领域“互联网+”服务平台

Copyright gkzhan.comAll Rights Reserved法律顾问:浙江天册律师事务所 贾熙明律师

客服热线:0571-87756395加盟热线:0571-87759904媒体合作:0571-89719789

客服部:编辑部:展会合作:市场部:

关闭