评价网 > 科教论文 > 工学毕业论文 > 计算机网络论文 > 正文

试论上海交通安全信息网对信息安全的研究(2)

2013-11-06 01:05

　　2．4的安全风险分析
　　管理是网络安全中最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。需要建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。现有系统这个环节比较缺乏。

　　2．5对外应用晌应的风险分析
　　根据目前情况网站每日的总访问人次在110000人次以上，从访问的次数上看问题并不大，每天平均每秒才1人次左右，但由于访问该网站高峰时间段比较集中，主要集中在每天上午的9点到l1点之间，所以会造成服务器瞬时的并发数大于500，造成服务器对外应用响应的间歇故障风险，前期已经对服务器作了优化处理，但这种风险依然存在。另外随着私家车的不断增加，对于安全信息网站的访问需求也将会不断增加，网站对外应用响应的风险也就越来越大。

　　3解决方案

　　3．1提出解决方案的原则
　　根据以上的安全需求分析及相应的安全建议内容，我们遵循以下原则推荐安全解决方案来帮助用户建立网站系统的安全防御体系：
　　(1)综合性、整体性原则：应用系统丁程的观点、方法，分析网络的安全及具体措施。也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即网络安全应遵循整体安全陛原则，根据规定的安全策略制定出合理的网络安全体系结构。

　　(2)需求、风险、代价平衡的原则：对任意一个网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际地研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。
　　(3)一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。
　　(4)易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。
　　(5)分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。
　　(6)多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层仍可保护信息的安全。
　　(7)可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过有关网络信息安全测评认证机构的评估来实现。

　　3．2解决方案说明和拓扑图
　　介于上面的原则，以及网络的实际情况和安全需求的分析，我们建议以下的安全解决方案：调整原先部署的防火墙设备；部署入侵检测设备；部署防毒、防垃圾网关；IDC的应用监测服务；服务器的负载均衡；安全维护制度以及应急预案。新的网络拓扑图如2所示。

（科教作文网http://zw.ΝsΕAc.com发布）

　　3．2．1防火墙部署
　　现有系统已经部署有思科防火墙，调整加固现有防火墙有效确保安全是首要任务。通过防火墙的过滤规则，限制INTERNET用户对www、Emai1服务器的访问，将访问权限控制在最小的限度。通过过滤规则，对远程更新的时间、来源(通过IP地址)进行限制。通过防火墙来开放必要的应用服务端口，其它端口可以全部关闭，减少不必要的安全隐患；需要防火墙上隔离互联网和内部网，控制进出网络的信息流；排除网络上的病毒恶意扫描及蠕虫攻击对网站服务器的影响，需要防火墙过滤恶意的信息包，保护内部的服务器免受感染。调整防火墙的工作模式，变透明模式为NAT模式，保护内部的服务器安全，以此提供第一道防线。