1物理安全防护策略
网络设计与规划之初,要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内,并与非可控区域间隔300米外,在现实条件无法满足的情况下,对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高,避免在楼顶。在涉密单位,重要的政府机关、机要及军政、部队网络要与互联网物理隔离,不同等级的网络之间采用最小耦合。在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调,将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命,减少故障的发生机率。机房的消防一定要采用气体联动消防,切勿使用水或传统的干粉,这些方法虽然可以灭火,但对设备的影响,却是不可逆的,它的影响远大于灭火本身。
2网络层安全防护策略
网络层安全防护应从网络拓扑结构进行分析,防护的方法是:在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据,发现违规操作后告警并阻断,形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统,利用安全审计系统对全网行为、数据库进行实时审计,通过网络分析系统抓取数据包,准确、及时定位故障,还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域,保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的ACL管理控制策略配合使用形成用户的不同域安全防护。
3系统层安全防护策略
对操作系统和数据库系统配置高强度用户名及密码,启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令,禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置,管理员分级分权限控制,对重要信息(文件、数据库等)进行标记,设定访问控制策略进行访问控制,开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口,利用系统组策略关闭不必要的服务。
4应用层安全防护策略
对重要的应用层系统及软件如WWW、DNS系统进行备份,可制作双机备份系统,一主一备,一旦一个系统出现故障,另一个系统自动启动,实现应用层的无缝实时切换。数据是网络的核心,因此保护数据也是应用层安全防护的要点。最好的方法是建立异地容灾备份中心,可简称为两地三中心。本地有数据中心及备份中心,异地有容灾中心。数据备份采用光纤SAN网络架构,ISCSI协议与TCP/IP协议不同,两网之间不进行网络通信,保证网络的安全。
5管理层安全
安全的最高境界不是产品,也不是服务,而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位管理程序,就没有真正的信息安全。对人员的管理和安全制度的制订是否有效,直接影响这一层的安全问题。管理层安全包括管理制度、管理技术。管理制度须制订一系列的安全管理制度,普及安全教育,包括:用户守则的制订。管理技术包括安全理论知识的培训、对安全产品使用培训、建立安全信息分发系统、及时通报最新安全事件、建立安全论坛、交流安全技术等。
6结束语
网络安全影响因素万变不离物理层安全、网络层安全、系统层安全、应用层安全、及管理层安全这五类。物理安全是网络安全的基础,网络层安全是网络安全的关键,系统层安全是网络安全的个体体现,应用层安全是网络安全的重点,管理层安全是网络安全长治久安成效的重要保障。总之,网络安全不能脱离这五个财务管理论文方面的任何一个层次而谈,忽略了任何一个方面,网络安全都将会存在短板,“木桶效应”将展现。
作者:韩桂明 单位:江苏省盐城市信息工程技术学校
