新余市党员干部培训网络学院建设方案
数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。 5.1.4 防火墙控制技术
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。整个安全解决方案的一个关键部分是网络防火墙,负责监视穿过网络周边的通信及根据安全策略加以限制。周边路由器可见于任何网络边界,例如专用网络、内部网、外部网或Internet之间。防火墙分离内部(专用)和外部(公共)网络。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙上。
对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能适当的报警,并提供网络是否受到监控和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。
防止内部网信息的外泄:通过利用防火墙对内部网的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注目的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透露内部细节(如Finger DNS等服务)安全漏洞。
支持VPN:除了安全作用,防火墙技术还支持具有Internet服务特性的企业内部网络技术---VPN。通过VPN,将企事业单位在地域上分布在全国、乃至全世界各地的LAN或专用子网,有机地联成一个整体。这样,不仅省去了专用通信
16
新余市党员干部培训网络学院建设方案
线路,而且为信息共享提供了技术保障。 5.1.5 访问控制技术
访问控制是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
5.2 数据安全方案措施
勿庸置疑,在任何系统中,数据的安全性是至关重要的,在设计中充分考虑了数据的安全性。保证数据的高可靠性和高可用性,也有两个方案选择,其中之一是双机热备份方案。
如上图所示,当主机和备份机软硬件都安装好后(软件包括Windows 7、HA软件、SQL Server2005),首先通过磁盘阵列所附的RAID控制软件,将磁盘阵列上的硬盘按照用户的要求作成RAID0,1,3,5等模式,并分区。这时被保护的卷就建立好了,所有的数据均写到被保护的卷上。
此方案的优点是实时切换,不需要人工干预,但是双机热备份方案的价格非常昂贵,需要购置磁盘阵列硬件和双机热备份的专用软件HA。
除了上述的双机热备份方案外,还有另外一种利用数据库进行备份的方案。系统需要保护的实际上是数据库中的数据。
17
新余市党员干部培训网络学院建设方案
使用数据库的Export工具进行逻辑备份,该方法的优点是操作简单,适合于数据量不大,不要求运行于24X7模式的系统,缺点是只能将系统回复到最后一次备份时的数据,最后一次备份到数据库崩溃这段时间内的数据将全部丢失,必须重新录入。我们建议采用Export模式作为备用的备份方案,充分利用该模式操作简单的优点,采取累积备份结合增量备份的方法,定期(建议每天)对数据库进行备份,同时将数据库运行于归档模式,定期进行数据库日志的备份,以便利用日志来恢复丢失或者被破坏的数据,保证数据库数据丢失为零。
5.3 系统安全
5.3.1 系统安全建议
在系统构建与运行过程中,有可能因无意(如误操作)或故意(如病毒或人为故意)的操作造成局部或系统数据的损失,为防止这种情况的发生,应建立安全管理制度,保护登录密码,合理使用访问权限,系统管理员注意在用户使用权限划分上的漏洞。 5.3.2 系统安全设计
由于用户资料的保密性以及系统中许多其他资料的保密性,要求这个系统具备以下几个方面的安全性:
1) 防范非法用户侵入的安全能力; 2) 防范病毒的能力; 3) 防范垃圾邮件的能力;
4) 防止误操作引起信息资料丢失的能力; 5) 信息传送过程中加密功能; 5.3.3 系统安全措施
对于本系统的安全性措施,除了充分利用上述技术外,我们还有有如下建议: 1) 漏洞扫描:主机上的弱点必须靠所谓的安全漏洞扫描器--就是市面上所谓的Security Scanner来作侦测,其主要的功能是仿真黑客入侵的手法去测试系统上有没有安全上的漏洞,进而从扫描出来的安全漏洞报告里告诉使用者系统上的安全漏洞有多少?如何去修补及到那里下载软件补丁?其中比较著名的是:ISS SCANER(ISS);CyberCops Scanner(NAI);NetRecon和ESM(Axent)。另外也有很多免费软件可以使用,当然,为了提高整个系统的安全性,最好是采用
18
新余市党员干部培训网络学院建设方案
已经取得良好信誉的商业产品。(漏洞扫描产品可以放在第二期的实施中)
2) IDS入侵检测:入侵检测(IDS)作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。(IDS入侵检测可以放在第二期的实施中)
3) 系统加固:安装系统补丁,防病毒软件等,关闭不需要的服务,把受到攻击的可能性减到最低。
4) 应用级的系统防护:考虑到平台实际是个可以分割开来的独立的系统,而且也是最需要安全防范的系统,所以可以考虑在一个单独的应用平台上构件这一系统。
5) 做好服务器管理:服务器管理任务包括监视服务器的运行状态,监视负载、内存、磁盘空间等信息,出现问题时进行必要的修复工作,以及数据备份等。
19
相关推荐:
loading