本站原创摘 要:本文首先介绍了计算机网络安全的现状,从网络安全管理系统的结构设计和功能设计方面着手,对电力制造企业信息网络安全系统设计进行研究分析,并提出了相关管理策略,以供相关人员参考借鉴.
关 键 词:网络安全;管理;设计;分析;监督
引言
在计算机网络飞速发展的现代社会,网络信息安全的重要性已得到各界领域重点关注,而在电力制造企业管理信息系统中,保护企业内部敏感信息和关键数据不被窃取、破坏和修改,也成为了电力企业信息网和外部网络之间传递信息的关键,但由于很多安全系统在设计的时候并没有完全解决安全问题,容易被侵入而产生严重后果,下面对电力企业信息网络安全管理系统的设计做简要分析探讨,以解决相关安全问题.
一、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命,电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以网络为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展.
与此同时,计算机网络也正面临着日益剧增的安全威胁,广为网络用户所知的行为和攻击活动正以每年十倍的速度增长,网页被修改、非法进入主机、发送检测冒电子邮件、进入银行系统和转移资金、窃取信息等网络攻击事件此起彼伏.计算机病毒、特洛伊木马、拒绝怎么写作攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等.网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一.
二、网络安全管理系统
网络安全管理系统(NS)是一个集网络主机管理、入侵行为检测、跟踪与取证、网络数据流监控与分析于一体的动态网络安全管理系统,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理:拒绝未经授权的用户访问,阻比未经授权的用户存取敏感数据,实现了与外部网络的妥善隔离,保证了电力制造企业生产、运行、经营的正常进行.
三、系统体系结构
协议分层导致数据项嵌在数据项之中,从而连接中有连接,潜在形成了多重层嵌套.因此,必须对每一层应对哪些数据项或连接提供保护做出决策.本文结合电力制造企业的实际情
况,提出了一种层次型的网络安全体系结构,用以指导电力企业NsMs的设计、研发和实施.与网络体系结构的分层机制相一致,网络安全体系结构也是分层实现的.在NsMs的分析与设计过程中,按照这5个层级分层实现系统的安全策略.
四、系统结构设计
在给出NsMs的结构以前,首先分析基于网络安全系统的基本结构.这种结构的讨论范围包含了网络安全系统的基本功能,主要是软件系统的结构,属于网络安全体系的一个子集.探测器由过滤器、网络接口引擎器及过滤规则决策器构成.探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包,然后传递给分析引擎器进行分析判断.分析引擎器将从探测器上接收到的数据包结合网络安全数据库进行分析,并按分析结果构造出探测器需要的配置规则.
五、系统功能设计
网络安全是由各个模块所属功能共同作用完成的,功能存在一个分解和细化的过程.NS的主要功能说明如下.
1.安全管理制度模块
a.用户管理:用户管理模块对系统的访问权限进行全面控制,不仅可以阻比非法用户使用网络安全管理系统,而且对合法用户的权限也进行了严格的分配,有效地保护了系统数据的安全性.它提供了口令修改、用户权限配置、主机信息修改、防火墙安全策略配置等功育旨.
b.机构设置:企业应建立一个专门的安全组织,由单位主要领导人负责,根据本单位的实际情况定期进行风险分析,提出相应的对策并监督实施.
c.职责制度:网络管理人员的职责应有明确的划分,安全负责人要审阅每天的系统日志、系统报警记录、系统活动统计及其他与安全有关的材料.
d.安全培训:新上岗的工作人员必须通过严格的培训考试,才能进入系统工作,同时不断学习网络安全领域中的新技术.
e.安全监督:对网络系统的各种安全因素进行周期性的评估,监督安全政策、安全制度、安全技术的落实情况.
2.防火墙模块
a.状态检测模块:通过驻留程序的方式实现了安全访问控制、客户端和会话认证、网络地址翻译、日志报警和加密功能,并且负责与管理模块进行通信.它根据用户自定义的网络安全策略对网络活动进行检查,截获、分析并处理所有试图通过防火墙的数据包,将网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预先定义好的规则,捕获网络安全违规活动,实现安全策略,保证网络的高度安全和数据完整.
b.入侵检测模块:由安全控制中心和多个探测器组成.安全控制中心完成整个分布式安全入侵检测模块的管理与配置,探测器内置己知网络攻击模式数据库,如包括Echo
攻击、Finger炸弹、band攻击、ping洪流、pingofDeaih,Rwhod,Smurf攻击、同步洪流等在内的拒绝怎么写作攻击特征库,以及包括电子邮件NFS猜测、NFknod,NFSUID检查、R10彭n-frooi检查等在内的未授权访问尝试特征库和用户自定义违规特征库等,探测器根据所在网段的网络数据流和网络通信会话轨迹,寻找网络攻击模式,进行实时自动攻击识别和响应,当发现网络攻击或未授权访问时,向安全控制中心报警,记录网络攻击事件并实时阻断网络连接.
3.病毒检测模块
运行于网关处,在病毒试图进入电力企业网络之前将其拦截,阻比病毒攻击内部网络,最大可能地避免病毒对资源的破坏.采用基于文件的检测方法,通过网络防火墙捕捉1P包,把接收到的所有数据帧,重组起来临时存放,应用特征字扫描法对文件内容进行病毒检测.为了尽可能不降低数据包的传输速度,采用并行工作方式,即网关实时反病毒系统与网络防火墙并行工作,将防火墙技术与反病毒技术有效地结合起来,从而有效地阻比了病毒向电力企业信息网的入侵.
4.信息统计分析模块
此模块通过对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,为管理员提供包括报警事件类别分析、怎么写作分析、主机分析、安全违规源和目的主机分析、网络攻击嫌疑源和目的主机分析在内的智能化网络安全审计方案.
六、安全管理策略
安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素.安全管理更主要的是对安全技术和安全策略的管理.用户的安全意识是信息系统是否安全的决定因素,除了在网络中心部署先进的网络结构和功能强大的安全工具外,从制度上、应用上和技术上加强网络安全管理.
(1)建立严格制度.制订网络建设方案、机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录一系列的制度保证网络的核心部门高安全、高可靠地运作.从内到外,层层落实,动态管理,适应新的网络需求,如网络拓扑结构、网络应用以及网络安全技术的不断发展,调整网络的安全管理策略.
(2)加强网络技术的培训.网络安全是一门综合性的技术,网络管理人员必须不断地学习新的网络知识,掌握新的网络产品的功能,了解网络病毒、攻击、分组窃听、IP欺骗、拒绝怎么写作、端口攻击等多样化的攻击手段,才能更好地管理好网络.
(3)加强用户的安全意识.网络安全最大的威胁是网络用户对网络安全知识的缺乏,必须加强用户的安全意识,引导用户自觉安装防病毒软件,打补丁,自动更新操作系统,对不熟悉的软件不要轻易安装.
七、结论
总之,由于人们对计算机网络安全越来越重视,所以我们必须重点关注网络安全问题,在制定合理的目标、技术方案和相关的配套法规的同时,加强企业网络信息管理意识.网络安全不仅仅是技术问题,同时也是一个安全管理问题.世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展.