浅论网络可靠性安全性设计和容错网络毕(3)
2013-07-16 01:03
导读:4 安全的两个方面 4.1 内部安全管理 主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制
4 安全的两个方面
4.1 内部安全管理
主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取手段和技术手段相结合的方法。
4.2 网络安全管理
在网络上设置防病毒安全检测系统后,必须保证防病毒系统的设置正确,且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理,可以通过软件本身和一些网络层的管理工具来实现。
安全方案:根据对信息网现阶段的安全需求分析,在设计安全方案时,将采取一切有力的措施,来实现信息网现阶段的安全目标,考虑到现阶段对网络病毒的管理要求,提出对网络病毒防范和管理控制建议,并提出了现阶段的网络安全管理方案。如可选用防病毒的是瑞星企业版。
网络设备的安全配置:信息网中,整个网络的安全首先要确保网络设备的安全,保证非授权用户不能访问网络任意的网络通讯设备(例如:路由器,交换机等)。对不同型号、厂家的网络设备,要防范的内容是一样的,但具体的配置方法须依照设备要求来实现。
对服务器访问的控制:对于服务器用户可以设置不同的用户权限,如“非特权”和“特权”两种访问权限,非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置,特权访问权限则允许用户对服务器进行完全的配置。
对服务器访问的控制建议使用以下的方式:1)控制台访问控制; 2)限制访问空闲时间;3)口令的保护; 4)多级管理员权限。
采用六级安全机制:路由器级(包过滤)、硬件防火墙级、网管级、操作系统级、数据库级、应用级,涵盖了从层到应用层的所有范围。
(科教作文网http://zw.ΝsΕAc.com发布)
路由器级:第一道防火墙采用Cisco2811路由器实现包过滤,完成系统的访问控制功能,屏蔽掉关键服务器的MAC地址,禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。
防火墙级:系统采用Cisco公司的防火墙产品PIX520,它是一种硬件解决方案。主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内部对外的访问。
网管级:利用CISCO公司CISCOWORKSWINDOWS 的网管功能,划分VLAN。
操作系统级:选用Windows 2000 SEVER或windows 2003 swever作为服务器操作系统,它采用了增强的安全措施,通过登陆认证、用户授权、信息加密等安全机制限制了用户对关键数据的非法操作。
数据库级(ORACLE):ORACLE支持维护管理数据库服务器、各种数据库设备,对象(包括表),用户及拥有的权限等,建立具有不同访问权限的多种类型的用户组,并能对用户进行分组授权。
Oracle完全满足NCSC的C2级安全标准,并早已通过相应的标准测试,在B1级的操作系统上,ORACLE早已提供满足NCSC的B1级或ITSEC的ITSE。
5 如何实现防火墙
每一种不彻底公开的内部网络与Internet最大的区别是安全性,网络建成后,内部网与网之间将实现单向访问控制,通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证。它可分为两种,即基于包过滤(PACKET FILTER)的网络级防火墙和基于代理(PROXY)的应用级防火墙。
6 结束语 这两种防火墙各有优缺点,在一般的内部网防火墙构架中,综合利用了这两种技术,下面是整个防火墙系统的介绍:第一道防火墙采用CISCO路由器实现包过滤,完成访问控制功能:禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当代理服务器,实现内部网对INTERNET的访问,同时实现隔离功能,禁止外部网络对内部网络的访问。
(科教范文网http://fw.NSEAC.com编辑发布) 参考文献:
[1] 杨洪振.实现Microsoft Windows 2000 网络基础结构[M].北京:中国科学技术出版社,2005.
[2] 黄睿.Microsoft Windows 2000 Server[M].北京:
清华大学出版社,2002.
[3] (美)Press M,著,陈萍,译.Microsoft Windows 2000 网络基础结构管理[M].北京:清华大学出版社,2001.
[4] 邹县芳,张雁.网络管理维护大师[M].重庆:重庆出版社,2004.
