当前位置：文档之家› 基于多层防护的某监狱管理局网络安全解决方案

基于多层防护的某监狱管理局网络安全解决方案

网络安全解决方案”。第一层也就是最外层．主要是防止外部网络的
非法用户的恶意攻击．这一层主要是在中心控制室与外部ｉｎｔｅＩＴｌｅｔ之间部署功能较强的防火墙。防火墙能跟踪流经它的所有通信信息，能够访问、分析和
利用通信信息、通信状态、应用状态，并做信息处理（基于以上所有元素的灵活的表达式的估算）。能根据系统管理员设定的安全规则提供访问控制、身份认证、网络地址转换、信息过滤、虚拟专网（ＶＰＮ）、流量控制等。可见防火墙可以为内部网络提供强大的保护作用。抵御来自外部网络的攻击、防止不法分子的入侵。
入侵检测系统通常包括入侵检测、报警、响应和防范等子系统。入侵检测子系统采用入侵检测分析技术，检测违反网络安全策略的入侵攻击事件、误用及滥用事件。一旦检测到就实时向控制台传送报警信息和事件过程记录．控制台接收到报警后。可根据入侵信息进行实时响应．如根据管理员预先定义的响应策略切断与攻击者的网络连接等。其检测响应示意图如图２。
参考文献
１王瑞详．系统防护与反入侵．北京：机械工业出版社。２００３２徐超文．柯宗贵．计算机网络安全实用技术．北京：电子工业出版
社．２００５３许治坤，等．网络渗透技术．北京：电子工业出版社，２００５
ＳｏｌｖｉｎｇＰｒｏｊｅｃｔｏｆＮｅｔＳｅｃｕｒｉｔｙｆｏｒＰｒｉｓｏｎＢｕｒｅａｕＢａｓｅｄｏｎＭｕｌｔｉｌａｙｅｒＤｅｆｅｎｃｅ
内部网络和ｉｎｔｅｒｎｅｔ进行直接连接．外部网络用户可以直接访问内部网络的主机．由于内部与外部没有实行隔离措施．内部系统很容易遭到攻击。一旦发生攻击．将导致局里重要数据资料等的破坏及泄密．严重时可使整个系统处于瘫痪状态。外部网
２００６年４月１８日收到作者简介：徐署华，Ｅ—ｍａｉｌ：ｇｔｓｇｓｘｓｈ＠ｔｏｍ．ｔｏｍ。
徐署华：基于多层防护的某监狱管理局网络安全解决方案
对整个网络起到全面的保护作用。当然，没有绝对安全的网络．少数行为会穿过防火墙最终产生攻击．一旦发现有攻击行为．安全系统应该能及时报警，自动采取相应的对策，如关闭服务、切断物理线路的连接等来把损害降到最低。
本安全系统既要考虑保护边界安全以防止来自外部网络的威胁．又要考虑监视内部网络以防止内部安全威胁。２．１安全体系结构
万方数据
络破坏的主要方式有：外部网络的非法用户（黑客）的恶意攻击、窃取信息；通过网络传送病毒及夹带病毒的电子邮件：来自Ｗｅｂ浏览可能存在的恶意Ｊａｖａ／ＡｃｔｉｖｅＸ控件等。１．２来自内部网络的安全威胁
中心机房能通过专线直接与各部门及车间控制室相连．这样来自内部网络的安全威胁也成为网络安全的一个重要部分。
ｉｎｔｒａｎｅｔ．Ｔｈｅｄｅｓｉｇｎａｎｄｕｓｅｏｆｎｅｔｓｅｃｕｒｉｔｙｓｏｌｖｉｎｇｐｒｏｊｅｃｔｂａｓｅｄｏｎｍｕｈｉｌａｙｅｒｄｅｆｅｎｓｅｂｙａｎｅｔｓｅｃｕｒｉｔｙｓｏｌｖｉｎｇ
ｐｒｏｊｅｃｔｏｆａｐｒｉｓｏｎｂｕｒｅａｕｉｓｅｘｐｌａｉｎｅｄ．
个不可避免的问题——安全问题。网站被攻击、数
据被篡改、资料被盗等时时在发生。应用一套有效的安全解决方案是所有企业用户急切要做的工作。本文就某省监狱管理局的基于多层防护的网络安全解决方案来探讨企业用户可行的网络安全解决方案。
１监狱管理局网络系统的安全威胁分析
管理局有一个内部局域网，连接局内各个部门、车间，各部分进行各自的业务处理。有一中心机房．部署有中心服务器及数据库服务器。有些部门通过ｉｎｔｅｍｅｔ和上下级及各监狱进行业务往来。对当前这个网络系统可能产生的安全威胁分析如下。１．１来自外部网络的安全威胁
２网络安全系统总体规划
针对如此多的安全问题．网络系统本身往往无能力应付。主要是由于操作系统日志不健全、对于某些欺骗行为不能识别、对于日志文件记录内容无法进行有效的分析、缺乏对攻击现场回放工具、缺乏防御同样攻击的解决办法。所以对网络系统应制定完善的安全和管理策略．安全策略一旦建立，会
１６期
第６卷第１６期２００５年８月１６７１—１８１５（２００６）１６—２５６８－０３
科学技术与工程
ＳｃｉｅｎｃｅＴｅｃｈｎｏｌｏｇｙａｎｄＥｎｇｉｎｅｅｒｉｎｇ
Ｖ０１．６Ｎｏ．１６Ａｕｇ．２００６ ⑥ ２００６Ｓｃｉ．Ｔｅｃｈ．Ｅｎｇｎｇ．
基于多层防护的某监狱管理局网络安全解１１８）
一个网络的安全体系主要应从安全对象和安全机制两个方面来考虑．安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全及计算机病毒防治等．其安全体系结构如图１所示。
图１
２．２方案设计在进行网络安全设计、规划时，应遵循如下原
则：水需求、风险、代价平衡分析原则，丰综合性、整体性原则，术一致性原则．术易操作性原则．木适应性、灵活性原则，木多重保护原则。结合本安全系统的特点．确定使用“多层防护
摘要企事业单位内部网络面临着外部、内部的安全威胁，严重时会给网络系统带来不可估量的灾害。就某监狱管理局使用的网络安全解决方案来说明基于多层防护的网络安全解决方案的设计及使用。关键词网络安全防火墙检测系统解决方案中图法分类号ＴＰ３９３．０８：文献标识码Ｂ
随着网络技术的快速发展．其应用已相当普及。各种企业、政府机构、学校等都成了网络用户，他们都有自己的内部网络来进行企业内部业务的处理．同时内部网还连接ｉｎｔｅｒｎｅｔ，通过ｉｎｔｅｒｎｅｔ来与其他ｉｎｔｅｍｅｔ用户进行业务往来、共享ｉｎｔｅｒｎｅｔ上的海量资源。网络在带来财富和希望的同时也提出了一
ＸＵＳｈｕｈｕａ（Ｓｃｉ—ｔｅｃｈｎｉｃＰｒｏｆｆｅｒｓｏｒＳｃｈｏｏｌｏｆＨｕ７ｎａｉｌ，Ｃｈａｎｇｓｈａ４１０１１８）
［Ａｂｓｔｒａｃｔ］Ｉｎｔｒａｎｅｔｆａｃｅｓｔｈｅｉｎｓｉｄｅａｎｄｏｕｔｅｒｓｅｃｕｒｉｔｙｔｈｒｅａｔｅｎｓ．Ｉｔｅｖｅｎｂｒｉｎｇｓｉｍｐｏｎｄｅｒａｂｌｅｄｉｓａｓｔｅｒｔｏ
第二层是在中心机房部署入侵检测系统。光有防火墙还是不够的．一是由于防火墙也不是万能的．有些非法访问可能会通过防火墙来访问内部网络：二是防火墙只对外来访问进行监控。不能对内部网络的行为进行控制。入侵检测系统是基于规则的、实时的、集中管理的主机监测系统，它可以在网络边界和网络内部检查和响应来自外界的攻击和可疑行为。从功能上看。它可以探测出潜在的危险——包括审计日志外不正常的“印迹”．并且根据安全管理员设定的规则．还可以对这些“印迹”进行分类并作出相应的反击响应。入侵检测系统可以认为是防火墙之后的第二道安全闸门．对网络进行全面监测，从而提供对内部攻击、外部攻击和误操作的实时保护。
第四层是在各节点主机上安装防病毒软件。防病毒软件可对已知和未知的病毒进行防治．对桌面
万方数据
２５７０
科学技术与工程
６卷
图２检测响应示意图
计算机和文件服务器的全面防毒保护．并可协助企业建立多层次防毒以保护其资源．可进行自动化电子邮件防毒及内容过滤：并可对有毒或可疑的电子邮件实施隔离．从而可以确保企业的邮件系统的高度安全。使用防病毒软件可以在网络的各个节点上进行病毒监控．一旦发现某个节点有病毒侵害．可以把损害控制在最小的范围内而不向整个网络扩散。
参考文献(3条) 1.许治坤网络渗透技术 2005 2.徐超文;柯宗贵计算机网络安全实用技术 2005 3.王瑞详系统防护与反入侵 2003
本文链接：/Periodical_kxjsygc200616036.aspx
［Ｋｅｙｗｏｒｄｓ］ｎｅｔｓｅｃｕｒｉｔｙ
ｆｉｒｅｗａｌｌ
ｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ
ｓｏｌｖｉｎｇｐｒｏｊｅｃｔ
万方数据
基于多层防护的某监狱管理局网络安全解决方案
作者：作者单位：刊名：
英文刊名：年，卷(期)：
徐署华， XU Shuhua 湖南科技职业学院,长沙,410118
科学技术与工程 SCIENCE TECHNOLOGY AND ENGINEERING 2006,6(16)
本安全系统使用基于多层防护的网络安全解决方案后．形成的整个系统示意图如图３。
３结束语
使用基于多层防护的网络安全解决方案可以
图３多层防护示意图
很好地对内部网络进行保护。防火墙相当于一个把门的门卫．对于所有进入大门的人员进行审核：只有符合安全要求的人．就是那些有入门许可证的人才可以进、出大门：但是对于那些本身就在大门内部的．以及那些具备入门证的、以合法身份进入了大门的人．是否做坏事就无法监控．这时候就需要依靠入侵检测系统来进行审计和控制。
内部网络的安全涉及技术、应用以及管理等多个方面，且可能由内部人员引起．所以给发现、监控、处理安全问题带来了更大的麻烦。内部网络是一个多应用的平台．上面运行着多种应用，其中包括网站系统、办公自动化系统、邮件系统、数据库系统等。不同的应用由不同的部门来使用．就可能由某些个人恶意行为给网络带来威胁：也可能由于人手有限．某些工作人员经常身兼数职，违反安全系统原则．给网络安全构成严重威胁：来自内部网络的病毒也会对整个网络系统构成安全隐患。因此，网络中心应能及时发现问题．确定安全威胁的来源．及时准确地采取应对措施来杜绝威胁的发生。
第三层是在中心机房与各部门或车间等内部子网之间部署子防火墙。防火墙是网络安全的关口设备．只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查、防护等功能。因此，在网络拓扑上．防火墙应当处在网络的出口处和不同安全等级区域的结合点处。这些位置通常位于：企业内部网出口链路处：主干交换机至服务器区域工作组交换机的骨干链路上：办公内部网与高安全等级的企业涉密网的连接点：远程拨号服务器与企业骨干交换机或路由器之间。

e商务文档

基于多层防护的某监狱管理局网络安全解决方案

相关文档推荐：