安全网络策略范文

前言：我们精心挑选了数篇优质安全网络策略文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

1.影响网络信息安全的主要因素

1.1 导致互联网脆弱性的原因。

（1）网络的开放性，网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。

（2）网络的自由性，大多数的网络对用户的使用没有技术上的约束，用户可以自由的上网，和获取各类信息。

1.2 安全管理困难性。

虽然安全事件通常是不分国界的，但是安全管理却受国家等多种因素的限制。安全管理也非常复杂，经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间，跨国界的安全事件的追踪就非常困难。

2.网络安全的主要技术

2.1 防火墙技术。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

2.1.1 网络安全的屏障。

防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络，使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文，并将情况及时通知防火墙管理员。

2.1.2 强化网络安全策略。通过以防火墙为中心的安全方案配置。能将所有安全软件（如口令、加密、身份认证等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。

2.2 数据加密技术。

2.2.1 常用的数据加密技术。

目前最常用的加密技术有对称加密技术和非对称加密技术。

2.2.2 数据加密技术的含义。

所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。

3.网络安全具有的功能

3.1 身份识别。

身份识别是安全系统应具备的基本功能，身份识别主要是通过标识和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言，主要考虑主机和节点的身份认证，至于用户的身份认证可以由应用系统来实现。

3.2 存取控制。

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。

4.常见网络攻击方法

4.1 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

第一：搜索

第二：扫描

第三：获得权限

第四：保持连接

第五：消除痕迹

4.2 网络攻击的常见方法。

（1）口令入侵

（2）电子邮件攻击

（3）木马程序

（4）漏洞攻击

5.网络安全应对策略

（1）使用防火墙软件

（2）提高网络安全意识

（3）隐藏自己的IP地址

（4）备份资料

（5）提高警惕

我国面对网络威胁采取的主要策略：

5.1 完善管理机制。

一个完善的计算机网络信息系统安全方案至少应该包括以下几个方面：访问控制、检查安全漏洞、攻击监控、加密、备份和恢复、多层防御、建立必要的管理机制。随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性显得十分重要。同时，计算机网络技术目前正处于蓬勃发展的阶段，新技术层出不穷，其中也不可避免地存在一些漏洞，因此，进行网络防范要不断追踪新技术的应用情况，及时升级、完善自身的防御措施。

5.2 逐步消除网络安全隐患。

（1）每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则。

第2篇

关键词：网络拓扑；防火墙；路由器；交换机；LAN；网络安全策略

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)24-5855-03

On the Hospital Network Security Policy

HUANG Shao-e

(Information Department of Songgang Hospital, Shenzhen 518105, China)

Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.

Key words: network topology; firewal; router; switch; VLAN; network security policy

随着医院业务的不断发展，其网络系统[1]也经历了多年的不断建设。在业务水平、网络规模不断提升的同时，网络也变得越来越复杂，而这种复杂对其安全性的挑战也是越来越严峻。OA业务系统对信息系统的依赖程度也越来越高，信息安全的问题也越来越突出。医院计算机管理人员充分认识到了安全保证对于业务系统的重要性，采取了相应的安全措施，部署了一些安全设备发挥了积极的作用。但是安全的动态性、系统性的属性决定了安全是一个逐步完善的整体性系统工程，需要管理、组织和技术各方面的配合。安全源于未雨绸缪，随着安全信息建设的逐步深入，医院立足于当前系统环境，考虑到未来业务发展的趋势决定对系统进行安全体系建设。在2009年初计划投入建设我院信息安全保障体系[1-2]，以增强我院的外网信息安全风险防范能力。

下面就我院网络改造前后安全问题进行浅谈。

1 我院网络未改造前现状系统安全风险分析

未改造前我院外部网络所面临的主要问题：所面临的主要问题可以细化为：① 员工有少数人上网进行BT下载，严重占用带宽，影响其他人的正常的互联网访问。② 内网机器感染了病毒，没有有效监控措施快速找到感染病毒的机器。③ 内网网络没有做安全隔离，服务器和客户端没有有效的隔离。④ 服务器区没有任何的安全防护措施，容易受到攻击。⑤ OA院内办公系统、数字多媒体图书馆等系统直接暴露于互联网，没有任何安全防护措施，很容易造成隐私信息的泄漏。

未改造前的网络状况拓扑结构如图1所示。

本单位办公楼层分布：十层楼门诊部（门诊办公+行政办公）、十层楼住院部、小楼层其他业务科室办公楼；

2 我院改造后的网络系统安全策略[2-3]

通过以VLAN（Virtual Local Area Network）方式的配置管理技术，在交换式以太网中，利用VLAN技术将由交换机连接成的物理网络划分成多个VLAN逻辑子网，实现不同网段逻辑隔离，按照楼层与科室类别和安全等级对计算机网络段实现分类管理，有利于网络的管理[4]和提高网络利用率。

2.1 硬件改造架设

在文中重点解说USG防火墙防御能力[5]的网络安全策略。此次改造增加的设备有：H3C S1526交换机、Cisco2800路由器和USG-600C防火墙。

2.1.1 USG防火墙的冗余措施

USG-600C防火墙作为网络接入的冗余措施[6]，对数据流进行精细的控制。USG安全网关具有如下特点：1）完善的访问控制手段：IP地址过滤、MAC地址过滤、IP＋MAC绑定、用户认证、流量整形、连接数控制等；2）IPS-坚固的防御体系；3）完善的攻击特征库：包括50多类，超过1800项的入侵攻击特征；4）漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门；5）应用还原重组技术：抑制间谍软件、灰色软件、网络钓鱼的泛滥；6）网络异常分析技术：全面防止拒绝服务攻击；7）业界领先的网络防病毒技术：文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件；8）实用的流量监控系统NetFlow：历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP流量排名等；9）多种手段全面清除垃圾邮件：黑名单、白名单、可追查性检查、病毒扫描、附件类型和附件大小过滤、关键字过滤等；10）精确的抗DoS攻击能力：采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性，阻断绝大多数的DoS攻击行为；11）完善的P2P、IM、流媒体、网络游戏和股票软件控制能力；12）强大的日志报表功能：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录。

USG-600C防火墙支持IP与MAC地址绑定功能并提供了多种绑定手段[7]，包括手动绑定，自动单主机绑定以及自动多主机绑定能力。其IP与MAC地址绑定功能值得一提，因ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问外网，让网关无法和客户端正常通信。分析其原理如下：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。

A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址。

欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

解决ARP欺骗的办法就是进行IP与MAC地址绑定，由于每块网卡的MAC地址都是固定的，经过地址绑定后，IP地址就与计算机或用户（若每台计算机的用户固定）的对应关系就固定了。也就是说，只有特定的主机才能使用特定的IP地址，这就可以保证IP地址不被盗用，同时也加强了内部网络IP不被随便人为修改的计算机管理。

2.1.2 网络主干设置

核心H3C S1526交换机为网络的主负载，楼层中心交换机为辅，利用H3C S1526交换机来进行VLAN端口划分，划分了三个网络区间。这三个区间分别为VLAN 1、VLAN 2和两个VLAN的和集。第一区间为VLAN 1,连接DDN专线出口, 包含门诊部和住院部及其它楼层的独立网络段；第二个为VLAN 2,连接ADSL出口，该区间包含9楼行政办公的独立网段；第三个区间是前两个区间的和集，包含两个网络段，再细划分两个共享端口作为OA服务器端口。

下面来看一下C1526交换机上VLAN的三大网段划分如图2所示。

2.1.3 Cisco2800路由器设置

利用Console端口进行配置，其 Cisco2800路由器端口设置如下：

Building configuration...

Current configuration : 2355 bytes

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname Router

boot-start-marker

boot-end-marker

logging buffered 51200 warnings

enable password ********

username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/

no network-clock-participate aim 0

no network-clock-participate aim 1

no aaa new-model

ip subnet-zero

ip cef

ip domain name

no ftp-server write-enable

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

duplex auto

speed auto

interface GigabitEthernet0/1

ip address 10.1.1.1 255.255.255.0

duplex auto

speed auto

interface Serial0/1/0

ip address 102.105.101.102 255.255.255.240

ip nat outside

encapsulation ppp

ip classless

ip route 0.0.0.0 0.0.0.0 102.105.101.101

ip http server

ip http authentication local

ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240

ip nat inside source list 1 pool NATOUT overload

ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable

access-list 1 permit 192.168.0.0 0.0.255.255

control-plane

banner login ^C

以上端口设置主要是完成OA服务器端口映射的功能，到此步就完成了整个网络硬件布置。下面就改造后的网络安全体系进行图解。

2.2 新规划改造后的网络安全体系拓扑

新规则的网络拓扑图如图3所示。

3 结束语

综上，网络安全是必须关注的问题，但如何在网络建设中对投入设备的选购是需要慎重考虑的。网络扩展包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展以及网络规划的扩展能力，非专业防火墙是万万不能选购，路由器和交换机也是要考虑其品牌和使用功能，作为一个规模经营医疗单位的信息管理员更是不能在选购硬件上少花功夫，既要保证最大的安全性，也要让网络在有限的条件下实施，从而做到资源上不浪费，技术上也不落后。

参考文献：

[1] 刘旭旭.医院计算机系统与网络的设备部署[J].现代计算机(专业版),2011,(Z1):106-108.

[2] 王颖,刘书恩.新医改下医院信息网络的建设[J].医学信息(中旬刊),2010(6):1581.

[3] 苗秋瑾.数字化医院的网络安全隐患与防[J].数字技术与应用,2009 (9):158-159.

[4] 朱彦斌.医院信息化网络建设与维护[J].医疗设备,2008(2):87-88.

[5] 沈永新.关于防火墙技术的研究与探讨[J].福建电脑,2011,(1).

[6] 孙兴文.个人防火墙系统架构设计与实现[J].电脑知识与技术,2009,(33).

第3篇

【关键词】网络信息安全；设计；管理策略

企业在发展的过程中，必然存在各种信息，有些信息可以对外公开公布，社会公众可以透过这些信息了解到企业的经营状况；有些信息则属于企业的机密，只有授权范围之内的少数人才能够了解，因为它关系着企业的生死存亡。随着计算机技术、网络技术、通讯技术的飞速发展，使信息的处理与传递以前所未有的速度进行。企业想要在利用计算机网络化提高自身管理水平的同时，保证信息安全，就必须对企业的网络信息安全系统进行设计与规划，科学构建安全访问系统，以此来提高网络信息安全。

一、威胁网络信息安全的因素

随着计算机网络技术的不断提高，非法访问、密码窃取以及恶意攻击等安全威胁的手段也在不断升级。这也在客观上需要企业提高网络信息安全设计水平，VPN、杀毒软件、数据加密、身份认证以及防火墙技术在企业中得到推广使用，在网络信息安全系统构建上起到了一定的效果，但是这些产品的功能相对分散，相互的关联性并不高，整体效益并不是十分理想。

（一）计算机病毒

计算机病毒是指编程人员在计算程序中插入一些能够破坏计算机功能的数据，它能够使计算机无法进行正常使用，并且能够进行自我复制的计算程序代码或者计算机指令。计算机病毒不能够独立存在，它只能够寄生于其他程序里面，具有传染性、隐蔽性、破坏性的特点。随着计算机网络技术的飞速发展，病毒种类在不断升级。当今世界上的计算机活体病毒的各类，已经达到了14万之多，传播途径主要有硬盘、电子邮件以及依附于各种下载软件之中。携带病毒的计算机只要运行时，满足了病毒制造者预设的条件，那么计算病毒就会爆发，轻者文件丢失、运行速度减慢，重者则导致系统瘫痪、硬件损坏。比如图一，为CIH病毒发作时的情况。

（二）黑客攻击

提起黑客，我们都不陌生，他们是一些热衷于研究、编写程序的专才。其中有些人利用掌握的知识推动计算机网络技术的发展，但是也有一些人则利用这些技术罪犯，获取不正当利益，比如进入2002年，网络犯罪分子开始采用DDOS的手法对服务系统进行攻击，干扰在线商务。在宽带网络环境下，常见的攻击方式主要有以下两种：一是黑客发动的，针对网络设备与网络服务的DDOS攻击；二是利用蠕虫病毒进行攻击，从而造成网络流量迅速增加，最终导致计算机网络设备彻底崩溃。DDOS的攻击对象主要有域名服务器、网页服务器以及邮件服务器，一旦受到DDOS的攻击，服务器则会被来自四面八方的海量信息所淹没。网络黑客的目的就是用大量的垃圾信息来阻碍服务器的正常对信息的处理，然后借机切断攻击目标的对外连线。黑客经常把网络与“僵尸电脑”相连，然后将大量的查询要求传送到开放的DNS服务器中，这些查询信息则会伪装成被海量信息攻击的目标传出，所以DNS服务器会把回应信息传到相应的网址上去。传统的身份认证，外来攻击者只是凭借获取有关用户身份凭证，就能够以任何一台设备而进入网络。就算是最严密的认证系统也很难对网络信息安全进行保护。除此以外，企事业单位的员工能够通过任意一台没有经过确认设备，以有效身份凭证进入网络系统，导致木马程序、间谍软件等恶意程序入侵系统，对网络信息安全系统产生了严重威胁。

（三）协议设计上存在着缺陷

互联网是建立在TCP/IP协议上的，这一协议在设计之初更偏重于效率，而忽略了安全因素，因此TCP/IP在设计之初，就存在一定的缺陷。

1.安全策略不严谨。很多站点在防火墙的配置上增加了访问的权限，没有考虑到这些权限可能被人利用，比如内部员工滥用权限，无意中为黑客留下了线索，一旦黑客入侵，网络维护人员往往毫无察觉。

2.信息容易被人窃取。多数企业互联网上的流量都是没有经过加密的，这就使文件在传送的过程中很容易被人窃取。而且基于TCP/IP协议的很多应用服务都不同程度的存在一些安全问题，很容易被人利用。

3.配置过于复杂。访问控制的配置通常是十分复杂的，这就非常容易造成配置上的错误，而形成了安全隐患。目前，银行之间在数据传输的过程中，所采用的协议均是保密的，这就提高了安全性，防止网络黑客的入侵。当然，现阶段我们还不能将TCP/IP与其实现代码进行保密处理，因为这将不利于TCP/IP网络的发展，但是银行的这种处理方式可以为我们网络信息安全系统的设计拓宽一些思路。

二、网络信息安全设计及管理策略

（一）网络与系统安全的设计

网络与系统安全的设计可以采用NetScreen-208防火墙设备，这种设备是当前国内市场上功能较为齐全的防火墙产品，它包括了8个自适应10/100M以太网端口，这些端口能够把网络划分成为多个区域，从而把需要保护的区域与潜在的相分离，在与网络设备进行连接时，这个设备的端口1与内部网的主交换机相连接，而端口2则与DMZ区相连接，端口3与因特网的路由器相连接。

杀毒软件可以采用瑞星网络版软件，这一软件具有网络管理功能，它主要是通过一个控制中心在整个网络的内部实现远程报警、智能升级以及远程管理等功能，有效的监管病毒入口如图二。

（二）服务系统的设计

企业的内部网站与数据库服务系统，依据信息的秘密等级，主要分成应用与非应用两种，同样它们所依赖的服务器也可发分成与非两类。正如笔者描述的，服务器主要处理的是信息，而非服务器主要处理的是非信息。从安全等级考虑，服务系统应该是企业的重点保护对象。因此，我们可以在服务器前配置相应的安全网关，其设计如图三。

用户在访问频密信息时，主要是基于HTTP协议，用户在通过安全网关认证之后，依据使用权限的不同，访问的内容也有所区别。用户在访问非信息时，同样是基于HTTP协议，但是能够直接进入非服务器而获取信息。

安全网关是服务器的关口，同时也是用户网络身份认证的中心，用户和服务器之间并没有直接的相连，这就有效避免了黑客对服务器的进攻，保证了信息的安全。

（三）访问权限管理

在网络信息安全系统中设置用户角色、用户等级、用户权限等字段，加强访问权限的管理与控制，并将数据信息根据企业的实际需要，划分为不同的等级阶段；根据实际用户的岗位设置划分为不同的角色，网络信息管理人员授予不同操作权限，划分到不同的虚拟局域网之内，形成不同的安全区域。

用户则通过网络查询系统的有关信息，使用HTTP协议与安全网关相连接，经过身份认证之后，再与服务器相连接，最后进行应用系统。用户在获取信息时，由应用系统依据用户的角色、权限进行相应的限制。

（四）对传递的数据进行加密

企业使用安全网关以后，与SSL建立通道，在这一安全通道上对用户与服务器之间传输的数据信息进行加密，保证机密信息不会被泄露。加密的算法可以由用户自己进行选择，这就增加了系统的灵活性，可以满足不同权限等级用户的需要。

三、总结

综上所述，随着我国市场经济的快速发展以及计算机网络技术的普及，信息充斥着社会的每一个角落，不但真假难辨，其中还隐藏着某种威胁。现阶段，影响我国网络信息安全的因素有很多，比如计算机病毒；黑客攻击；协议设计上存在着缺陷等等，而实现信息安全的设计也有很多，企业需要根据自身的发展的现状，选择相应的信息安全设计方案，相信通过我们的共同努力，网络信息安全的管理与设计必将会翻开崭新的一页。

参考文献

[1]苏玉召,赵妍.计算机网络信息安全及其防护策略的研究[J].计算机与信息技术,2006(05).

[2]戴启艳.影响信息系统安全的主要因素及主要防范技术[J].中国科技信息,2010(06).

[3]林柏钢.网络与信息安全现状分析与策略控制[J].信息安全与通信保密,2005(07).

[4]南溯.浅议计算机网络维修和管理[J].电脑编程技巧与维护,2010(04).

[5]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,2011(02).

[6]朱燕.虚拟机技术在计算机网络安全教学中的应用[J].电脑知识与技术(学术交流),