系统网络安全及病毒防护.docx
- 文档编号:7224387
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:8
- 大小:37.48KB
系统网络安全及病毒防护.docx
《系统网络安全及病毒防护.docx》由会员分享,可在线阅读,更多相关《系统网络安全及病毒防护.docx(8页珍藏版)》请在冰豆网上搜索。
系统网络安全及病毒防护
系统网络安全与病毒防护
1序言
随着网络互联技术与互联网以及电力负荷管理系统飞速的发展,对电力负荷管理系统来说,通过外部系统获得数据或者为外部系统提供数据已经成为必然,局内各个系统之间的互联以及与国际互联网的联通,一方面获得了外部的无穷的信息。
另一方面也带来了安全性、XX性的要求,作为一个核心的部门,网络安全以及病毒防治已经成为电力负荷管理系统主要的工作之一,我们就这两个方面着重介绍如何提高电力负荷管理系统的网络安全性以及流行的防治病毒的工具。
2网络安全
电力负荷管理系统网络为典型的局域网,在与外部进行互联的时候有几种方式可以使用,如下表所示:
方法
所花费代价
效果
通过HUB互联
小
基本没有网络防护的功能
建立网关
中
有几种网关设置方式,最基本的是安装双网卡,通过软路由沟通内部与外部的网络,不灵活,限制多,安全性有一定的保证。
建立防火墙
大
防止来自外部的黑客攻击
防止来自内部的恶意攻击
实现内部应用网与外部网之间的网络通讯
双向的访问控制
网络通讯的实时监控
强大的安全审计
基于事件分析与告警服务
效果最好,最专业的方式
通过上面的表我们可以看出,防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理想的选择,下面就着重介绍一下这种方法:
典型的负荷管理系统网络结构图
2.1防火墙的主要技术手段
●负荷管理系统的防火墙,通过设置有效的安全策略及用户一次性口令认证方法,控制外部访问者对内部网的访问。
●使用防火墙可以进行统一的集中控制管理。
通过防火墙的管理主机,管理所有的防火墙系统,并可以灵活地设置在负荷管理系统网络的各个关键位置的访问控制,例如可以针对网络内部的不同设备进行个性化的管理控制。
●防火墙支持各种网络协议,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、InternetPhone等网络协议,支持CISCO、SGI等多媒体点播协议,例如OSPF、IGMP等广播协议。
对各种常用应用系统例如Oracle、Notes、SQLServer等完全支持。
●防火墙如同网络上的监视器,可以轻松记录负荷管理系统网络内部每一位用户的访问情况,同时可以对网络的各种使用情况进行统计,生成各种报表、统计图、趋势图等。
防火墙的实时监控系统能够了解防火墙当前的工作状态,同时了解网络的通讯情况与攻击的详细信息。
●防火墙具有实时入侵检测系统,完全实现防患于未然。
能够对各种网络攻击方式进行识别,例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等,同时以方式对系统管理员进行报警。
●防火墙具有一个优秀的功能,就是能够将一台负荷管理系统网络中的终端设备的网卡MAC地址与它的网络IP地址进行捆绑,完全实现两者的一一对应。
当信息网内部有人私自篡改IP地址妄图盗用他人权限时,由于其IP地址与MAC地址不匹配,防火墙拒绝其通过,禁止其访问同时向系统管理员进行报警。
2.2应用功能描述
●防止来自外部的黑客攻击
●防止来自内部的恶意攻击
●实现内部应用网与外部网之间的网络通讯
●双向的访问控制
●网络通讯的实时监控
●强大的安全审计
●基于事件分析与告警服务
2.3保证防火墙系统自身的安全
软件方面——基于交换模式下的隐形防火墙
防火墙软件在设计结构上是基于数据链路层的防火墙软件,在网络应用中不存在网络IP地址,因此防火墙系统自身不会能为攻击者攻击的目标,从而保证网络的安全。
硬件方面——具有工控机性能的“黑匣子”
工控机从硬件设备的运行稳定性、安全性同其他的设备相比是非常优秀的,防火墙采用工控机性能的“黑匣子”作为防火墙系统的硬件平台,从而在硬件设备方面保证了防火墙最大的安全性。
监控主机与管理主机的物理分离
通过将防火墙的安全防X功能与管理功能分别放置于不同的主机设备中,有效的避免了人为因素对防火墙系统安全性的影响。
2.4防止来自外部网黑客对内部网的攻击
智能身份识别
防火墙具有严格的一次性口令身份认证功能,能够有效解决以下几种情况对网络安全所带来的安全隐患:
●窥探网络传输中用户名称、口令
●扫描网络传输中用户信息
●截取网络传输中用户名称、口令
●侦听网络传输中用户名称、口令
以上几种盗取用户名称、口令的方式广泛存在,例如各种扫描工具、侦听软件等随处可以得到。
防火墙严格的一次性口令身份认证保证用户名称、口令的绝对安全。
它的特性是用户口令唯一一次性有效。
在防火墙认证服务器中建立用户信息库,当用户希望通过防火墙建立网络连接时,防火墙认证服务器向用户提出认证请求同时生成一个随机数,与服务请求捆绑在一起加密发送给用户,用户输入用户名称、口令后与认证请求、随机数捆绑后加密传输给防火墙的认证服务器。
认证服务器解密后分离出用户名称与口令,并判断其是否合法性,如果合法防火墙允许其进行正常的网络通讯,否则拒绝服务。
由于用户名称、口令与服务请求、随机数一同加密,以密文方式传输,加密后的信息在网络传输中即使被攻击者盗取也无法获得用户真正的名称与口令。
即使将盗取的密文信息发送给认证服务器进行认证,由于密文信息与认证请求是一一对应的、对密文信息的认证一次有效,认证服务器根本不会对这种盗取的密文信息进行认证。
防火墙一次性口令认证过程准确、有效,由于整个认证环节都由系统本身完成,因而确保认证过程的绝对可信性。
另外防火墙系统还支持遵守RADIUS协议第三方认证系统,从而使系统的认证能力具有很强的可扩展性。
通过防火墙一次性口令身份认证保证信息用户名称、口令安全性,防止盗用用户名称、口令。
防火墙是唯一实现一次性口令身份认证的防火墙,国内其他防火墙均不具有此功能。
对于不具有此功能的防火墙就不能够防止用户身份、口令盗用,后果将会不堪设想。
基于应用层的包过滤
防火墙具有基于应用层的包过滤功能,对各种网络服务进行访问控制,是唯一基于应用层访问控制的防火墙。
能够有效地对以下几种情况进行访问控制管理:
●利用“黑”指定不允许访问的网络地址,“未被禁止的就是允许的”
●利用“白”指定允许访问的网络地址,“未被允许的就是禁止的”
●利用“禁止URL”指定不允许访问的网址。
有些网络地址提供非法信息,是严格禁止访问的,利用黑来明确禁止对这些地址的访问。
通过“白”来指定只允许访问有限的几个网络地址,其他地址均不允许访问。
对于提供如XX、反动等非法信息的网络站点,通过“禁止URL”来禁止对这些站点的访问,另外通过对内部网的服务器的某些URL屏蔽,可以消除服务器本身的安全漏洞,从而对服务器进行保护。
因此防火墙是一种基于应用层访问控制的包过滤防火墙。
这一功能的特性是使访问控制具有高度的针对性。
防火墙按照安全规则对每一个数据包的XX信息进行过滤,将获得数据包网络地址与“黑、白”中指定的网络地址进行比较,以判断其合法性。
如果合法允许通过,否则拒绝通过。
此功能可以使用户对指定的网络地址进行有针对性的访问控制,使网络安全规则更加方便灵活、安全可靠。
根据我国国情如果没有这种基于应用层的访问控制就不能够明确禁止对某些非法网络地址、网络站点的访问,就有可能成为传播非法信息的途径,社会造成严重的危害。
防火墙能够根据应用层不同的网络服务进行安全检测,并具有网络访问控制的功能,从而实现对各种网络应用服务进行管理。
基于TCP/IP协议的包过滤
能够对信息包的端口、源地址、目的地址、网络协议、通讯服务、信息传输方向等多种信息进行基于TCP/IP网络协议的包过滤操作。
实时入侵检测与防X端口扫描
防火墙具有强大的实时入侵检测功能,能够有效防止多种DOS(服务拒绝)攻击对电业局负控信息网的攻击,同时能够识别大量对电业局负控信息网进行端口扫描入侵活动。
2.5防止内部网用户对信息网络安全的破坏
IP地址与MAC地址的绑定
防火墙是一种既防内又防外的防火墙
每一块网卡都具有一个唯一标识,也就是指网卡的MAC地址,每一个网卡的MAC地址都是同网卡一一对应。
对于网络协议为TCP/IP的网络两台设备进行通讯时,网络接口具有网络IP地址,防火墙提供将内部网络用户IP地址同它的MAC地址进行绑定的功能,这样在防火墙内部就建立了网卡的IP地址同网卡的MAC地址一一对应的关系,因此通过防火墙就实现了IP地址同网卡的MAC地址即网卡的绑定。
通过绑定功能即使盗用负荷管理系统网络的IP地址,也因IP地址与MAC地址不匹配而盗用失败。
在网络管理中IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。
防火墙的IP/MAC地址绑定功能可以很好地解决这一问题,通过与硬件物理地址的绑定,使盗用的IP地址无法通过防火墙系统。
每一个网络终端设备均具有物理MAC地址,防火墙通过将设备的MAC地址与IP地址绑定,有效防止了内部用户非法盗用IP地址。
完备的安全审计
防火墙提高了强大的安全审计功能,具有最全面的安全审计功能的防火墙。
可以根据以下多种方式进行安全审计:
●根据时间X围进行安全审计
●根据IP网络地址进行安全审计
●根据信息包的传输方向进行安全审计
●根据信息包的处理方式进行安全审计
●根据信息包的MAC地址进行安全审计
●根据信息包的数量进行安全审计
●根据信息包的字节数量进行安全审计
●根据网络服务进行安全审计
防火墙具有专用的安全审计数据库,能够根据审计原则进行单项统计、复合统计,生成各种统计图、统计表等。
通过防火墙强大的安全审计功能,可以对网络中所有的信息记录分析,发现潜在的安全隐患,使管理员对所有网络活动了如指掌。
根据出现的不同情况制定相应的策略,对攻击者的入侵提前做好防御措施。
一次性的口令身份认证
通过一次性的口令认证有效保护了使用者的权限,保证了使用者的合法性,用户口令的安全就可有效防止非法使用者的盗用,就可保护网络的安全。
2.6实现网络访问控制
●面向对象的安全规则编辑
网络在防火墙安全规则上可以针对单独的主机、一组主机、一个网段进行设置,是一种面向对象的安全规则编辑方式。
●网络通讯端口
可以根据网络通讯端口设置安全规则,可以针对电业局保护对象开放某些服务端口,这样其他的通讯端口均对外关闭。
●网络协议
防火墙支持多种网络协议如TCP、UDP、ICMP等,在安全规则中可以按照网络协议进行设置。
●信息传输方向、操作方式
一个网络通讯连接的建立,信息必有来源同时有目的地,防火墙在设置安全规则时均可以进行明确的指定,有效地保证了电业局通讯连接的合法化。
因此可以根据信息传输方向设置安全规则,同时可以在安全规则中设置允许、拒绝等操作方式。
●通讯时间
在安全规则中可以按照星期几、每一天具体的时间设置,实现电业局的网络访问控制。
●网络服务
可以根据网络服务设置安全规则。
通过以上的描述,我们可以看出,防火墙通过强大的控制功能,灵活的设置,可以很容易的实现负荷管理系统网络不受外部以及内部的恶意攻击,提高了负荷管理系统的安全性,XX性做到了任何外部网络对负荷管理系统的内部情况“看不见”,外部非法入侵者及特殊信息“进不来”,机要敏感信息“拿不走”,任何的非法对外访问“出不去”。
3病毒防治
病毒也是一种通过网络传播的恶意攻击计算机系统以及信息系统的程序代码,所谓魔高一尺、道高一丈,计算机病毒防治软件,以及病毒防火墙也在随着新病毒的层出不穷而不断的更新,升级,下面就目前比较流行的防病毒软件进行一下介绍:
KV系列:
KV杀毒王网络版是江民公司广聚反病毒领域最具权威的专家与程序员,历时两年之久开发的新一代企业级信息安全产品。
该产品在病毒查杀技术方面秉承了杀毒王单机版的优秀品质,并在全网统一管理上取得了重大突破。
利用此款产品,网络管理员可以对全网用户进行统一的远程管理、设置、控制、升级、病毒查杀等,使网络管理变的轻松。
这款产品的推出为企业提供了一整套完善的企业安全解决方案,为企业的网络安全提供了坚实的保障。
熊猫卫士:
可以升级的集中管理平台。
这个新工具能使您从一个单一的管理平台完成对整个网络中所有防病毒产品的集中管理。
新的熊猫管理员具有更丰富的功能,它最主要的目的是在整个公司中建立起一个全面而整合的安全策略:
可以自动升级,优化服务的管理(包括广域网、低宽带条件下),使用代理技术来实现即时的策略改变,自动完成工作站病毒库文件的增量更新,用统一的日志文件来记录实时的网络信息。
金山毒霸:
查毒速度快,同时配置网络安全防火墙,集中管理多种防火墙功能及安全助手,全面拦截网页浏览、电子、下载、聊天、局域网、光盘、软盘等各种病毒入侵通道。
XX:
国际知名的杀毒软件。
瑞星:
瑞星杀毒软件网络版整个体系结构安装实施简单、管理方便,完美满足企业防病毒整体管理需求,并结合瑞星国际领先的反病毒引擎、全球病毒监测网、快速应急反映能力以及瑞星强有力的服务网络,保证了用户信息系统彻底摆脱病毒困扰。
KILL:
公安部认证的杀毒软件,安全可靠,稳定。
防病毒软件目前分为单机版与网络版,单机版针对个人用户,网络版面对企业与部门,从各项指标以及使用的效果来看瑞星的个人版以及网络版效果最佳,但防病毒软件并不是万能的,它需要定期的升级病毒库以及杀毒引擎,以适应不断涌现的新型的病毒,同时防病毒软件也需要结合我们平时对外来资料信息的严格管理,可疑的文件、不打开,可疑的信息不去浏览,这样才能做到我们的负荷管理系统不被病毒破坏,更好的使负荷管理系统发挥应有的作用。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统 网络安全 病毒 防护
![提示](https://static.bdocx.com/images/bang_tan.gif)