|
基于組合模型P-WPDRRC的校園網(wǎng)絡安全體系研究
崔洪征 2023/10/28 16:44:34
(接上頁)成三維結構����,在解決信息傳遞問題的基礎上,使體系的安全性得到提升��。為滿足校園網(wǎng)絡安全需要���,P-W模型采用七大模塊����,分別為預警��、策略�、防護、檢測��、響應、恢復�、反擊,按照上述模塊�,提出校園網(wǎng)的安全體系架構[2]。具體如圖1所示���。
圖1 P-W校園網(wǎng)絡安全模型架構示意圖
按照圖1中的架構����,設定以下三個維度:分別為安全防范層次����、影響因素集、P-W模型��。在上述三個維度中����,P-W模型是最為重要的環(huán)節(jié),它將校園網(wǎng)絡安全細分為如下方面:安全策略��、安全預警�、安全防護��、安全檢測、響應�、恢復、反擊等[3]�����。P-W安全模型以解決校園網(wǎng)絡中的安全問題為首要任務���,在此基礎上形成具有高度安全性和可靠性的網(wǎng)絡體系��,對校園網(wǎng)絡中的安全風險進行全面分析后���,作出預警,并提供安全問題的解決策略�����,最大限度減少來自于校園外部的攻擊�,提升校園網(wǎng)的整體性能,保證網(wǎng)絡運行的安全性���。
2.3關鍵技術
在基于P-W模型構建校園網(wǎng)絡安全體系的過程中�����,需要應用到相關的安全防范技術�����,具體包括法防火墻技術����、入侵檢測技術、主動防御技術等�����。在P-W安全模型中�,入侵檢測是不可或缺的技術,它的作用是阻止來自于校園網(wǎng)絡外部的入侵��。防火墻技術雖然能夠阻止外部入侵��,但卻無法攔截所有的入侵����,并且對于校園內(nèi)部的攻擊行無法處理����;诖��,可將入侵檢測與防火墻聯(lián)合運用。
2.3.1防火墻+入侵檢測����。①實現(xiàn)方法。為使兩項技術有機結合�,應放開接口實現(xiàn)連接,通過協(xié)議的設定����,使二者之間能夠進行數(shù)據(jù)交換和命令傳遞,這樣不但能夠使入侵檢測的靈活性得到進一步提升��,而且還能使兩項技術原本的性能不受影響���。建立入侵檢測系統(tǒng)前���,要對入侵行為的判斷準則合理設定,系統(tǒng)運行后�����,檢測程序會以準則為依據(jù),對入侵行為加以識別��。而防火墻則應按功能設置��,可將之布設在內(nèi)�、外網(wǎng)延伸的主干線上,遵循安全過濾的原則進行布設���,以網(wǎng)絡協(xié)議作為主要依據(jù)���,對通過防火墻的數(shù)據(jù)進行檢測分析,違反網(wǎng)絡協(xié)議的數(shù)據(jù)��,全部剔除[4]���。同時���,綁定IP地址,防止賬號被盜�,重點分析帶有攻擊性的網(wǎng)絡行為,根據(jù)攻擊特點�,采取預防措施,避免受到影響�。
②聯(lián)動方式�����。防火墻與入侵檢測的聯(lián)動方式有嵌入式和連接式�����,前者的實時性和效率較高,應用較多��,而后者更加靈活���,聯(lián)動性和實時性更強�����,推薦采用連接式�����,即通過開放接口使二者相連接���。二者聯(lián)動后的關系如圖2所示。
圖2 防火墻與入侵檢測系統(tǒng)聯(lián)動關系示意圖
聯(lián)動后��,兩項技術在網(wǎng)絡安全方面的作用能夠得到全面發(fā)揮,有助于校園網(wǎng)絡安全性的提升����。
2.3.2主動防御。在P-W模型中��,主動防御是利用蜜罐��、偽裝等技術����,分析外界攻擊,以此來掌握其規(guī)則����,制定阻止策略,為校園網(wǎng)絡提供安全保障���。入侵防御系統(tǒng)具有良好的主動防御性����,可對網(wǎng)絡攻擊行為作出及時響應����,數(shù)據(jù)經(jīng)過該系統(tǒng)時�,能將可疑的數(shù)據(jù)及鏈接攔截下來���。
2.4體系的實現(xiàn)
2.4.1物理安全���。物理安全是校園網(wǎng)絡安全體系的基礎和根本保障,故此必須保證所有網(wǎng)絡基礎設施的安全性����,一方面要防止水火等災害對基礎設施和線路的影響����,另一方面應減輕人為因素的影響。在計算機網(wǎng)絡機房的建設過程中�����,應當嚴格按照相關規(guī)范的要求進行機房選址�,并選配安全系數(shù)較高的物理設備,以此來提高物理安全性�,以免因機房設備出現(xiàn)問題,對校園網(wǎng)絡的安全運行造成影響��。供電線路采用兩路���,一主一備����,保證網(wǎng)絡供電的可靠性,機房內(nèi)加裝相應的控制設施�����,對環(huán)境溫濕度加以調(diào)控�。為避免閑雜人等誤入機房重地,可引入門禁系統(tǒng)�,并增加指紋或面部識別功能,如有必要�����,則可安排專人看管���。
2.4.2網(wǎng)絡安全�����。網(wǎng)絡安全的核心是保證數(shù)據(jù)的傳輸與存儲的安全性�,在校園網(wǎng)絡數(shù)據(jù)問題比較常見���,因此�,為確保數(shù)據(jù)安全,應將重點放在通信安全方面��,具體的實現(xiàn)方法如下:
①基于校園網(wǎng)的特征����,在隔離內(nèi)網(wǎng)時,可以運用VLAN技術�����,分區(qū)�、分部門、分樓棟隔離�����。通過這種隔離方式���,有助于加大網(wǎng)絡訪問的控制力度,防止外界對內(nèi)網(wǎng)的入侵及破壞���。
②基于VPN技術�,構建校園內(nèi)外網(wǎng)使用的安全隧道,數(shù)據(jù)信息經(jīng)安全隧道進出��,這樣可以使網(wǎng)絡入侵問題得到有效解決�����。
③要保證校園網(wǎng)出口邊界的安全性���,對此可以采用防火墻技術���,將智能防火墻設置在出口邊界,并在核心交換機與防火墻之間增加高性能的路由設備�,以此來消除瓶頸問題[5]。
④為對訪問校園網(wǎng)絡局部網(wǎng)的內(nèi)部資源進行有效控制��,可以采用訪問控制列表ALC技術��,依托該技術��,完(未完�,下一頁)
|