公務員期刊網(wǎng) 論文中心 正文

計算機安全防護體系的架構(gòu)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機安全防護體系的架構(gòu)范文,希望能給你帶來靈感和參考,敬請閱讀。

計算機安全防護體系的架構(gòu)

1建立計算機網(wǎng)絡安全架構(gòu)

(1)操作系統(tǒng)安全。Windows操作系統(tǒng)的安全由以下內(nèi)容:1)Windows的密碼系統(tǒng)。使用安全帳戶管理器,建立系統(tǒng)用戶名和密碼。2)Windows操作系統(tǒng)安全配置。有選擇地安裝組件,關閉危險的服務和端口,正確的設置和管理賬戶,正確的設置目錄和文件權(quán)限,設置文件訪問權(quán)限,禁止建立空連接。3)Windows系統(tǒng)更新和日常維護。通過本地安全策略中的Windows組件服務,設定Windows系統(tǒng)更新時間、更新源以及相關信息,建立補丁分布服務器器系統(tǒng)WSUS(WindowsServerUpServices)實現(xiàn)操作系統(tǒng)的升級服務。Windows操作系統(tǒng)是一個非常開放,同時非常脆弱的系統(tǒng),需用維護人員定期和日常維護。

(2)應用系統(tǒng)安全技術。應用系統(tǒng)是信息系統(tǒng)重要組成部分,目前,針對應用系統(tǒng)B/S架構(gòu)建立應用系統(tǒng)的數(shù)據(jù)庫防護措施,如:數(shù)據(jù)庫加密、數(shù)據(jù)庫安全配置,這樣才能避免因受攻擊而導致數(shù)據(jù)破壞或丟失。

(3)防火墻。防火墻主要用于提供計算機網(wǎng)絡邊界防護和構(gòu)建安全域,可防止“非法用戶”進入網(wǎng)絡,可以限制外部用戶進入內(nèi)部網(wǎng),同時過濾掉危及網(wǎng)絡的不安全服務,拒絕非法用戶的進入。同時可利用其產(chǎn)品的安全機制建立VPN(VirtualPrivateNetworks)。通過VPN,能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡。但防火墻的防護是有限的需要配合其他安全措施來協(xié)同防范。

(4)入侵檢測系統(tǒng)(IDS/IntrasionDetectionSystem)。入侵檢測系統(tǒng)是一種計算機網(wǎng)絡安全系統(tǒng),當入侵者試圖通過各種途徑進入網(wǎng)絡甚至計算機系統(tǒng)時,它能夠檢測出來,進行報警,采取相應措施進行響應。它的功能和防火墻有很大的區(qū)別,它是防火墻的合理補充,幫助識別防火墻通常不能識別的攻擊,提高信息系統(tǒng)基礎結(jié)構(gòu)的完整性。其主要功能有:監(jiān)控并分析用戶和系統(tǒng)的活動、異常行為模式的統(tǒng)計分析、對操作系統(tǒng)的校驗管理、檢查系統(tǒng)配置和漏洞、識別已知攻擊的活動模式等。入侵檢測系統(tǒng)是作為一種主動的安全防護技術,通過技術手段,進行實時的入侵檢測和事后的完整性分析。

(5)漏洞掃描系統(tǒng)。通過漏洞掃描軟件對漏洞進行預警,發(fā)現(xiàn)漏洞進行相應修復。

(6)計算機防病毒系統(tǒng)。近年來,計算機病毒通過多種途徑進入企業(yè)計算機,因此,企業(yè)計算機的防病毒工作形式日益嚴峻,針對計算機病毒的威脅,建立防病毒系統(tǒng)的防護策略,定期進行病毒庫升級、查殺,有效地控制病毒的傳播,保證計算機網(wǎng)絡的安全穩(wěn)定。

(7)電磁泄漏發(fā)射防護。為了保證計算機信息安全必須建立電磁泄漏發(fā)射防護措施,確保計算機設備不被具有無線發(fā)射與接受功能的設備如:手機、無線網(wǎng)絡裝置等侵入。

(8)路由器和交換機。路由器和交換機是網(wǎng)絡安全防護的基礎設備,路由器是黑客通過互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡首要攻擊的目標,因此路由器必須在技術上安裝必要的安全規(guī)則,濾掉安全隱患的IP地址和服務。例如:首先屏蔽所有的IP地址,然后有選擇地允許打開一些地址進入網(wǎng)絡。路由器也可以過濾服務協(xié)議,放行需要的協(xié)議通過,而過濾掉其他有安全隱患的協(xié)議。目前企業(yè)內(nèi)部網(wǎng)大多采用以三層網(wǎng)絡為中心、路由器為邊界的內(nèi)部網(wǎng)絡格局。對于交換機,按規(guī)模一般大型網(wǎng)絡分為核心、匯聚、接入;中小型分為核心和接入架構(gòu)。核心交換機最關鍵的工作是訪問控制功能。訪問控制就是交換機就是利用訪問控制列表ACL對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進行過濾和篩選。此外,為實現(xiàn)網(wǎng)絡安全的運行通常采用一項非常關鍵的工作就是劃分虛擬局域網(wǎng)(VLAN),通過使用網(wǎng)絡交換機管理軟件,對交換機進行配置完成,有利于計算機網(wǎng)絡的安全防護。

(9)身份認證系統(tǒng)。通常為了能夠更好地保護應用服務器不被非法訪問,可以將身份認證系統(tǒng)串接在終端與應用服務器之間,用戶需要訪問身份認證系統(tǒng)后面的應用系統(tǒng)服務器時,首先需要通過身份認證系統(tǒng)的認證,認證通過后,身份認證系統(tǒng)自動將用戶身份傳遞給應用系統(tǒng)。

2計算機安全防護管理

計算機安全防護技術對保障信息安全極其重要,但是,要確保信息安全還很不夠,有效的技術手段只是計算機安全的基礎工作。只有建立嚴格的企業(yè)計算機安全管理制度,按制度進行嚴格周密的管理,才能充分發(fā)揮計算機安全防護的效能,才能真正使計算機及網(wǎng)絡安全信息得到最可靠的保證。

3工業(yè)控制系統(tǒng)的安全防護

根據(jù)工業(yè)控制系統(tǒng)安全防護的特點,在實施安全防護中,提出了分層、分域、分等級,構(gòu)建三層架構(gòu),二層防護的工業(yè)控制系統(tǒng)安全體系架構(gòu)思想。三層架構(gòu)分別是計劃管理層,制造執(zhí)行層,工業(yè)控制層。二層防護指管理層與制造執(zhí)行(MES)層之間的安全防護;再就是制造執(zhí)行(MES)與工業(yè)控制層之間的安全防護。

4結(jié)束語

目前企業(yè)計算機安全已經(jīng)深入到企業(yè)生產(chǎn)管理、客戶服務、物流和營銷及工業(yè)控制等各個領域。建立計算機信息安全防護措施是一個復雜而又龐大的系統(tǒng)工程,涉及的問題也比較多。只有不斷對計算機安全措施進行深入的研究和探討,提高信息安全專業(yè)人員的技術技能。更重要的是加強計算機安全管理,管理不到位,再多的技術也無能為力,只有充分發(fā)揮了人的作用,才能更好地實現(xiàn)信息系統(tǒng)安全,保證企業(yè)信息化建設的持續(xù)發(fā)展。

本文作者:李培強、葉宏真、朱曉秋 單位:中航工業(yè)沈陽黎明航空發(fā)動機(集團)有限責任公司數(shù)據(jù)中心