摘要:該文闡述了療養院網路安全的概念以及在完全管理中出現問題的原因,並就網路安全的分類及技術特點及影響網路安全的因素,提出了相應的解決方法,讓療養院網路安全、可靠、高效的執行,增強網路的保密性。
關鍵詞:網路安全;入侵監測;防火牆;包過濾
隨著計算機技術和網路和不斷髮展,療養院資訊化的也呈跨越式的發展。所有療養人員的資訊都已經通過網路數字化存入了網路資料庫,使療養人員的健康管理,療案跟蹤以及醫護人員的定點服務能夠快速、準確。所以療養院網路的安全,將直接關係到療養工作的正常進行。網路上的漏洞、病毒等如果不進行有效的技術控制防護防毒,將會帶來巨大的災難和損失。那麼,對於網路安全管理來說,管理員應該從哪些方面,如何才能做到安全管理呢,我們一步一步進行分析。
1網路安全技術分析
網路安全技術一般都由多種安全技術組成,如網路防火牆技術、網路入侵檢測技術、網路防病毒技術、網路安全漏洞掃描技術。
1.1網路防火牆技術
網路防火牆又分為硬體防火牆和軟體防火牆,他們的功能基本相同,都是在療養院內部可信任網路和外部不可信任的公共網路之架起一座橋樑,然後根據內部網路的要求,允許授權的包通過,同時防止外部未經授權的使用者非法訪問內部網路,也可以完全阻止外部使用者的訪問,進而保護內部網路免受非法使用者的入侵。不管是硬體防火牆還是軟體防火牆都能夠根據一定的安全規則來控制內外網之間的資訊流,並且保護自身不受非法使用者的攻擊。防火牆技術從應用上來說一般分為“包過濾”型(PacketFiltering)、“應用代理”型(ApplicationProxy),網路地址轉換型(NetworkAddressTranslation)三種。“包過濾”型:它是依據網路中的資料包傳輸,根據防火牆製作的過濾包的規則來檢測攻擊行為。因為網路上傳輸的資料都是以“包”為單位進行傳輸的,每一個數據包都包含特定的資訊,像資料來源地址、目的地址、埠號等等。包過濾會檢查這些是否來自可信任的安全站點,如果發現數據包不正常或來自不安全的地址,就會拒絕這些資料包通過。管理員可根據自身網路的需要來制定相應的包過濾規則。包過濾也有一定的缺點,因為它是工作在網路層,通過資料包的資訊來判斷,如果有網路不法分子偽造地址和埠等方法就能很容易通過包過濾型的防火牆。“應用代理”型:應用代理型的防火牆其實就是使用代理伺服器作為防火牆用,代理伺服器處於客戶機和伺服器之間,內部網路使用者可以通過代理服務使用外部網路,而外部網路使用者無法訪問內部網路,保護了內部網路上的資料。由於內外之間沒有直接連線,都是通過代理伺服器進行,所以安全性較高。代理伺服器還可以同時提供安全審計和日誌服務。代理服務雖然安全性較高,對病毒和木馬入侵十分有效,但是因為所有客戶機的訪問都要由代理伺服器進行連線,加重了代理伺服器的負擔,而且速度較慢。“網路地址轉換”型:它是把內部網路使用者的內部IP臨時轉換成具有外部網路的IP地址的計算機來訪問外網。外部網路不能訪問內部網路,所有內部網路的機器在訪問外網果,都由NAT伺服器來產生一個對映地址,然後在映射出一個偽裝的埠通過網絡卡訪問,這樣就隱藏了實際的內部網路地址。“網路地址轉換”型的優點是可以使內部所有的機器共享幾個外網的IP訪問外網,對於內網安全性較高,但是同樣網路訪問速度慢。
1.2網路入侵檢測技術
入侵檢測技術能夠監視計算機系統或網路系統中發生的各種事件並形成日誌檔案,並且進行完整檢測分析,從中找到不安全的因素或系統中存在的漏洞。一般把入侵檢測的軟體與硬體的組合稱為入侵檢測系統。它是一種主動型的安全防護系統,可以對內部攻擊、誤操作和外部攻擊做實時防護,在計算機網路和系統受到危害之前提前報警、攔截和響應。入侵檢測系統可分為兩類。基於主機的入侵檢測系統用於保護關鍵應用的伺服器,實時監視可疑的連線、系統日誌檢查,非法訪問的闖入等。特點是:精確,可以精確地判斷入侵事件;高階,可以判斷應用層的入侵事件;對入侵時間立即進行反應;針對不同作業系統特點;佔用主機寶貴資源。基於網路的入侵檢測系統用於實時監控網路關鍵路徑的資訊。特點是:能夠監視經過本網段的任何活動;實時網路監視;監視粒度更細緻;精確度較差;防入侵欺騙的能力較差;交換網路環境難於配置。
1.3網路防病毒技術
計算機病毒是危害網路資訊系統安全的重要問題之一,它可以通過光碟、優盤、行動硬碟、網上下載、電子郵件等方式進行傳播,一旦網路中的某一臺主機受到病毒感染,病毒程式就會很快迅速傳播,一般的蠕蟲病毒可能拖慢計算機速度,惡意的病毒則可能使用資訊洩漏、檔案丟失甚至造成計算機崩潰,最嚴重的病毒甚至可以造成計算機硬體燒燬,如CIH病毒等。網路防病毒一般是在全網安裝防病毒軟體客戶端,由一臺防病毒伺服器來執行服務端軟體。服務端和客戶軟體都具有檢查和清除病毒的功能,服務端還可以設定所有線上機器的定時防毒以及網全網防毒。當服務端的防毒程序升級更新後所有的客戶端都可以自動更新,增加內部網路的防病毒能力。
1.4網路安全漏洞掃描技術
網路安全漏洞掃描技術是網路安全技術中不可或缺的一部分,它能夠增強內部網路的安全性,能夠掃描分析系統中存在的安全問題,並針對掃描到的安全漏洞提供詳細的安全解決方案,使系統管理員及時打好系統安全補丁,避免因存在的漏洞而讓網路不法分子有可乘之機,造成資料丟失。現在的漏洞掃描工具分為兩類,一類是基於服務的,一類是基於網路的。基於伺服器的漏洞掃描工具可以對伺服器進行全方位的掃描,如弱口令、共享檔案、WWW服務、系統漏洞等,掃描完成後會給出詳盡的分析說明。基於網路的安全掃描工具主要掃描設定網路內的交換機、路由器、資料庫伺服器、防火牆等裝置的安全漏洞,還可以設定模擬攻擊,以便測試系統的防禦能力。通過漏洞掃描技術的應用,管理可以針對相應的問題,制定切實可行的安全解決方案。
2網路安全管理實施對策
2.1在全網部署硬體防火牆
根據內部網路的需求,在內網和外網之間架設硬體防火牆,隔離外網與內網之間的訪問。在防火牆中開啟IP和埠控制,設立DMZ區,開啟所需的常用網路服務如HTTP、FTP等,這樣就可防範外部對內部使用者的攻擊;及時檢視防火牆的日誌檔案,對防火牆的管理可以指定獨立的'管理IP。通過對防火牆規則的設定,使使用者需要的應用協議才能通過,讓內部網路變得更安全。
2.2利用專用伺服器安裝網路版防毒軟體
採用網路版防毒軟體,可以對整個內部網路採取全面的病毒防護。現在的網路版防毒軟體有瑞星和江民。他們都能對整個內部網路進行防病毒統一管理,製作一定的防病毒策略,定時對全網系統進行自動查、殺病毒。網路防病毒策略一般包括:升級和修補,及時更新病毒程式包和防毒軟體版本;備份,定時備份所需的重要資料以便在出現故障時進行恢復;安裝軟體時使用經過確認的軟體包;一旦某臺機器感染病毒,找到感染源並徹底清除;任何客戶端都不能自行解除安裝防毒軟體,設立解除安裝密碼。
2.3網路安全漏洞修補
定期採用專用的漏洞掃描軟體對內部網路的專用伺服器如WWW伺服器、視訊會議伺服器、資料庫伺服器、FTP伺服器等進行漏洞掃描、分析和評估,並生成掃描報告。根據評估的安全風險,及時修補漏洞及下載系統更新補丁,還要對重要資料進行備份,以達到增強網路的安全性的目的。
2.4使用者級訪問控制
對所有使用者採用專用的使用者口令和訪問規則及許可權,以確保只有合法使用者才能訪問合法資源。網路管理員應該對不同的裝置設定不同的口令,而且設定的口令最好是大小寫字母、數字加特殊字元等,最好是8位以上的密碼,還需要定期更改密碼並將密碼記錄下來。
2.5內部網路計算機認證訪問
我們都知道,計算機的MAC地址在全球是唯一的,在網路中對所有計算機進行IP地址和MAC地址進行繫結,就能夠標識每臺計算機的使用人,只有經過繫結的計算機的IP才能夠訪問網路。這種繫結可以使用具有三層功能的核心交換來做,也可以使用軟體在專用伺服器上做。利用這種繫結不但可以控制網內使用者隨意更換IP的問題,還可以很容易找到某些存在問題的計算機。
2.6網路機房安全管理
網路安全管理不僅僅要從計算機硬體、軟體和人員使用上管理到位,而且對機房也要納入安全管理範圍,並建立各種安全管理制度,如機房管理制度、裝置管理制度、安全系統管理制度、病毒防範制度、操作安全管理制度、安全事件應急制度、各伺服器檢查備份制度等,建立相應的各種檢查記錄檔案,定期修訂不安全的因素,最終採取切實有效的措施保證制度的執行。通過以上對各種網路安全技術的分析,我們給出了相應的解決問題的對策,從技術和制度管理上保證了療養院資訊網路安全的執行。我相信,隨著網路安全管理人員的進一步學習和實踐,並積極參加國內外的各種網路安全培訓,必將會進一步提高我們資訊網路管理的安全,使網路安全正常的執行。
參考文獻:
[1]AnneCarasik-Henmi.防火牆核心技術精解[M].北京:中國水利水電出版社,2005:10-14.
[2]戴浩,楊林.端端通訊系統安全體系結構[J].電腦保安,2004(2).
[3]譚兵,吳宗文,黃偉.網路入侵檢測技術綜述[J].電腦程式設計技巧與維護,2010(2).