计算机网络论文--网络隔离技术研究-对于信息安全管理角度探讨

类别:毕业论文  时间:2012-07-25   已浏览: 972 次
  论文摘要:本文探讨网络隔离的相关技术,从网络隔离的概念,说明网络隔离技术的发展沿革与网络隔离技术的作法,进而探讨实体隔离网闸的技术原理,并从相关信息安全标准所建议之实务规范,汇整与网络存取相关的管理控制措施。 

  论文关键词:网络隔离;信息安全;管理 
 
  一、网络隔离的观念 

  当内部网络与因特网连接后,就陆续出现了很多的网络安全问题,在没有解决网络安全问题之前,一般来说最简单的作法是先将网路完全断开,使得内部网络与因特网不能直接进行网络联机,以防止网络的入侵攻击。因此对网络隔离的普遍认知,是指在两个网络之间,实体线路互不连通,互相断开。但是没有网络联机就没有隔离的必要,因此网络隔离的技术是在需要数据交换及资源共享的情况下出现。不需要数据交换的网络隔离容易实现,只要将网络完全断开,互不联机即可达成。但在需要数据交换的网络隔离却不容易实现。在本研究所探讨的网络隔离技术,是指需要数据交换的网络隔离技术。 
  事实上在大多数的政府机关或企业的内部网络,仍然需要与外部网络(或是因特网)进行信息交换。实施网络断开的实体隔离,虽然切断两个网络之间的直接数据交换,但是在单机最安全的情况下,也可能存在着复制数据时遭受病毒感染与破坏的风险。 

  二、网络安全管理 

  (一)网络控制措施 
  在「10.6.1网络控制措施」控件中,说明应采用的控制措施,对于网络应该要适当的加以管理与控制,使其不会受到安全的威胁,并且维护网络上所使用的系统与应用程序的安全(包括传输中的资讯)。 
  建议组织应采用适当的作法,以维护网络联机安全。网络管理者应该建立计算机网络系统的安全控管机制,以确保网络传输数据的安全,保护网络连线作业,防止未经授权的系统存取。特别需列入考虑的项目如下: 
  1、尽可能将网络和计算机作业的权责区隔,以降低组织设备遭未经授权的修改或误用之机会;2、建立远程设备(包括使用者区域的设备)的管理责任和程序,例如管制远程登入设备,以避免未经授权的使用;3、建立安全的加密机制控制措施,保护透过公众网络或无线网络所传送数据的机密性与完整性,并保护联机的系统与应用程序,以维持网络服务和所联机计算机的正常运作;4、实施适当的录像存录与监视,以取得相关事件纪录;5、密切协调计算机及网络管理作业,以确保网络安全措施可在跨部门的基础架构上运作。 
  (二)网络服务的安全 
  1、组织应赋予管理者稽核的权力,透过定期的稽核,监督管理负责网络服务的厂商;2、组织应确认负责网络服务的厂商,有实作特殊的服务所必需的安全措施,例如该项服务的安全特性、服务的安全等级和管理方法。归纳“网络控制措施”及“网络服务的安全”的控制措施,建议组织在网络安全的控管措施,主要以采用防火墙、入侵侦测系统等控制措施,及运用网络服务安全性的技术,例如认证、加密及网络联机控制技术等,以建立安全的网络环境与网络联机的安全。 

  三、网络隔离技术与应配合之控制措施 

  (一)采用完全实体隔离的管理措施 
  1、安全区域作业程序。组织需根据存取政策订定安全区域的标准作业程序,以便相关人员能够据以确实执行,避免人为疏忽造成数据泄漏。标准作业程序应制作成文件让需要的所有使用者都可以取得。对于每一位使用者,都需要清楚的定义存取政策,这个政策必须依照组织的要求,设定允许存取的权限,一般的原则为仅提供使用者必要的权限,尽可能减少不必要的权限。并应区分职务与责任的范围,以降低遭受未经授权或故意的进入安全区域之机会;2、资料存取稽核。数据存取的记录,包括成功及不成功之登入系统之纪录、存取资料之纪录及使用的系统纪录等。在完全实体隔离的作业下相关的稽核记录,需要实施人工的稽核作业,特别是登入错误时的纪录,需要逐笔的稽核作业。并不定期稽核数据存取作业是否符合组织的存取政策与标准作业程序,并且需要特别稽核下列事项:(1)对于被授权的特权使用者,其存取纪录应定期稽核;(2)对于特权存取事件,应检查是否被冒用的情形发生。 
  (二)网络存取控制措施 
  在实体隔离的政策要求下,将内部网络与外部网络隔离为两个互不相连的网络,数据交换时透过数据交换人员定时,或是不定时根据使用者的申请,至数据交换作业区域之专属设备,以人工执行数据交换作业。因为内部网络与外部网络间采用网络线路的实体隔离作业,主要的网络存取控制措施则着重在作业区域的管理控制措施。 
  为确保数据交换作业区域的数据存取安全,除将内部网络与外部网络隔离为两个互不相连的网络外,对数据交换作业区域的专属设备,需实施不同于外部网络及内部网络的存取安全政策,确保网络安全环境,以降低可能的安全风险。例如:内部网络处理机敏性数据、外部网络处理一般办公环境数据及数据交换作业区域的安全环境。机敏性数据建置于内部网络的专属数据库或档案区内,机敏性信息系统亦仅限于内部网络运用,员工必须在内部网络的计算机进行信息处理作业。另为防止机敏性数据的外泄,在内部网络的终端计算机需要禁止使用下列设备,包含磁盘片、光盘片、随身碟或行动碟等可携式储存媒体。 
  为防止因特网的直接存取数据交换作业区域的专属计算机,应依照组织的存取政策,采用逻辑隔离技术,将不同等级的作业分隔在不同的网段,例如:将数据交换作业与一般信息作业的网段区隔,藉由适当的封包过滤机制,防止未经授权的网络流量互相流通,同时可管制数据的存取,避免数据被误用之机会。而且需要建置入侵侦测系统,侦测组织内网络封包的进出,以便提早发现可能的入侵行为。

相关文章阅读

1、你患了职场“微笑抑郁”吗?   [案例]   在单位工作时脸上常常挂着招牌式的微笑,一回到家里就长吁短叹闷闷不乐。张先生对妻子近来的情绪变化感到奇怪。   妻子去年3月产后复出,在一家外贸公司找了份业务经理的工作。收入比张先

2、兼职,只为了让生活更美好 我想,大多数的人选择兼职,最主要的原因肯定是为了赚钱,然后在赚钱的过程中寻找到兼职的快乐。 我打兼职的主意也不是一天两天了,从开始工作到现在都没有断过兼职的念头,但只到去年下半年才真正地算是进入兼职

3、细数创业板28家首批上市公司的“贫富”分化 2009年10月23日,中国创业板“开板”仪式在深圳举行;2009年10月30日,首批28家上市公司登陆创业板。三年时间过去了,创业板上市公司壮大至355家,募集资金近2000亿元。   三

4、经济学理论论文--析水电站安全管理   论文摘要:安全管理是企业生产管理的重要组成部分,是确保企业安全、可靠、经济运行的有力保障。这对于水电站更是如此。主要从落实安全生产责任制;提高安全意识,加强安全文化建设;加强两票、三制管理,加强“

5、如何战胜求职忧郁症 最近对美国失业者进行的一项调查证实了所有失业者都早已深有体会的一件事情:失业会令人沮丧 情绪非常忧郁。据《纽约时报》报道,《纽约时报》及CBS新闻频道联合在10月19日至25日期间对445名失业者进行

6、6妙轻松走出“厌班症”   厌班导致一时的工作效率低下,并不是罪无可恕的事,长此以往才会屡屡被失败感包围,产生身心不适甚至自我厌弃。因而我们不妨放松点,做个深呼吸,告诉自己问题远不如想象中严重,找对方式进行自我调整,那么“厌

7、中美创业创业公司 谁更吸引投资者的目光 最近一段时间以来,投资界的情势并不容乐观,使得整个创业环境都不免受到影响。但即使如此,依旧有不少企业获得了投资。 仅仅在过去一个月内,提供云服务的Zscaler获得了3800万的风投资金,大数据公司

8、2011年室内设计师实习报告 一、实习目的 1、了解室内装潢设计在金华的市场现状及前景. 2、进一步掌握ps,3dmax,cad等设计软件的运用. 3、初探做好室内设计师的方法,熟悉室内设计的方法和程序步骤. 4、培养人际

9、如何才能将兼职变成大学后的全职 说实在的,有很多家里经济条件很不错的大学生他们在高校期间也会选择做兼职,为什么?因为他们知道,在高校阶段的付出努力,工作经验的积累,能力的提升,能够为自己后期带来许多利好影响,甚至能将大学所

10、成功创业应具备的七种品质 Flightfox最近在一家非常棒的Y-Combinator创业公司(叫做Flightfox)实习,在这里2个月多的实习经历让领悟到下面这些在成功的创业者身上所具有的品质。 富有同理心 几个月前,