计算机网络论文--网络隔离技术研究-对于信息安全管理角度探讨

类别:毕业论文  时间:2012-07-25   已浏览: 1065 次
  论文摘要:本文探讨网络隔离的相关技术,从网络隔离的概念,说明网络隔离技术的发展沿革与网络隔离技术的作法,进而探讨实体隔离网闸的技术原理,并从相关信息安全标准所建议之实务规范,汇整与网络存取相关的管理控制措施。 

  论文关键词:网络隔离;信息安全;管理 
 
  一、网络隔离的观念 

  当内部网络与因特网连接后,就陆续出现了很多的网络安全问题,在没有解决网络安全问题之前,一般来说最简单的作法是先将网路完全断开,使得内部网络与因特网不能直接进行网络联机,以防止网络的入侵攻击。因此对网络隔离的普遍认知,是指在两个网络之间,实体线路互不连通,互相断开。但是没有网络联机就没有隔离的必要,因此网络隔离的技术是在需要数据交换及资源共享的情况下出现。不需要数据交换的网络隔离容易实现,只要将网络完全断开,互不联机即可达成。但在需要数据交换的网络隔离却不容易实现。在本研究所探讨的网络隔离技术,是指需要数据交换的网络隔离技术。 
  事实上在大多数的政府机关或企业的内部网络,仍然需要与外部网络(或是因特网)进行信息交换。实施网络断开的实体隔离,虽然切断两个网络之间的直接数据交换,但是在单机最安全的情况下,也可能存在着复制数据时遭受病毒感染与破坏的风险。 

  二、网络安全管理 

  (一)网络控制措施 
  在「10.6.1网络控制措施」控件中,说明应采用的控制措施,对于网络应该要适当的加以管理与控制,使其不会受到安全的威胁,并且维护网络上所使用的系统与应用程序的安全(包括传输中的资讯)。 
  建议组织应采用适当的作法,以维护网络联机安全。网络管理者应该建立计算机网络系统的安全控管机制,以确保网络传输数据的安全,保护网络连线作业,防止未经授权的系统存取。特别需列入考虑的项目如下: 
  1、尽可能将网络和计算机作业的权责区隔,以降低组织设备遭未经授权的修改或误用之机会;2、建立远程设备(包括使用者区域的设备)的管理责任和程序,例如管制远程登入设备,以避免未经授权的使用;3、建立安全的加密机制控制措施,保护透过公众网络或无线网络所传送数据的机密性与完整性,并保护联机的系统与应用程序,以维持网络服务和所联机计算机的正常运作;4、实施适当的录像存录与监视,以取得相关事件纪录;5、密切协调计算机及网络管理作业,以确保网络安全措施可在跨部门的基础架构上运作。 
  (二)网络服务的安全 
  1、组织应赋予管理者稽核的权力,透过定期的稽核,监督管理负责网络服务的厂商;2、组织应确认负责网络服务的厂商,有实作特殊的服务所必需的安全措施,例如该项服务的安全特性、服务的安全等级和管理方法。归纳“网络控制措施”及“网络服务的安全”的控制措施,建议组织在网络安全的控管措施,主要以采用防火墙、入侵侦测系统等控制措施,及运用网络服务安全性的技术,例如认证、加密及网络联机控制技术等,以建立安全的网络环境与网络联机的安全。 

  三、网络隔离技术与应配合之控制措施 

  (一)采用完全实体隔离的管理措施 
  1、安全区域作业程序。组织需根据存取政策订定安全区域的标准作业程序,以便相关人员能够据以确实执行,避免人为疏忽造成数据泄漏。标准作业程序应制作成文件让需要的所有使用者都可以取得。对于每一位使用者,都需要清楚的定义存取政策,这个政策必须依照组织的要求,设定允许存取的权限,一般的原则为仅提供使用者必要的权限,尽可能减少不必要的权限。并应区分职务与责任的范围,以降低遭受未经授权或故意的进入安全区域之机会;2、资料存取稽核。数据存取的记录,包括成功及不成功之登入系统之纪录、存取资料之纪录及使用的系统纪录等。在完全实体隔离的作业下相关的稽核记录,需要实施人工的稽核作业,特别是登入错误时的纪录,需要逐笔的稽核作业。并不定期稽核数据存取作业是否符合组织的存取政策与标准作业程序,并且需要特别稽核下列事项:(1)对于被授权的特权使用者,其存取纪录应定期稽核;(2)对于特权存取事件,应检查是否被冒用的情形发生。 
  (二)网络存取控制措施 
  在实体隔离的政策要求下,将内部网络与外部网络隔离为两个互不相连的网络,数据交换时透过数据交换人员定时,或是不定时根据使用者的申请,至数据交换作业区域之专属设备,以人工执行数据交换作业。因为内部网络与外部网络间采用网络线路的实体隔离作业,主要的网络存取控制措施则着重在作业区域的管理控制措施。 
  为确保数据交换作业区域的数据存取安全,除将内部网络与外部网络隔离为两个互不相连的网络外,对数据交换作业区域的专属设备,需实施不同于外部网络及内部网络的存取安全政策,确保网络安全环境,以降低可能的安全风险。例如:内部网络处理机敏性数据、外部网络处理一般办公环境数据及数据交换作业区域的安全环境。机敏性数据建置于内部网络的专属数据库或档案区内,机敏性信息系统亦仅限于内部网络运用,员工必须在内部网络的计算机进行信息处理作业。另为防止机敏性数据的外泄,在内部网络的终端计算机需要禁止使用下列设备,包含磁盘片、光盘片、随身碟或行动碟等可携式储存媒体。 
  为防止因特网的直接存取数据交换作业区域的专属计算机,应依照组织的存取政策,采用逻辑隔离技术,将不同等级的作业分隔在不同的网段,例如:将数据交换作业与一般信息作业的网段区隔,藉由适当的封包过滤机制,防止未经授权的网络流量互相流通,同时可管制数据的存取,避免数据被误用之机会。而且需要建置入侵侦测系统,侦测组织内网络封包的进出,以便提早发现可能的入侵行为。

相关文章阅读

1、藏于记忆深处 我们生存在这个世上,会有许许多多的记忆藏匿于我们的脑海深处,时不时的跳出来让我们感到开心或者悲痛。那些曾经的日日夜夜,风风雨雨,或悲伤,或开心,或失败,或成功……这些往事藏于脑海深处,决定着我们做人的

2、在销售中成长 以前所说的“酒香不怕巷子深”早在很早很早之前已不再适用于现实状态的生存,现在的商品存在的普遍现象,是“酒香也怕巷子深”,于是,催生出了“销售”这样的一种特殊行业。 销售在日常生活中非常普遍,也是日常生

3、云南 大力支持扶助大学生创业 记者日前从全省高校毕业生就业指导工作推进会上获悉,为帮助符合条件的自主创业大学生享受“贷免扶补”政策,省教育厅已将今年全省教育系统承担的目标任务分解下达到各州市教育局及高校,争取通过早启动、早

4、电子商务专业论文:我国企业信息化的问题与对策研究   信息化革命正在打破并重组现存的国际经济秩序和结构,并促使其由物质型向信息型经济转变。并且随着经济的全球化趋势,如果没有信息化,企业的改造、重构、工业化的进程就会怠慢,企业的生存和发展就会成为大问题

5、张勇(海底捞)心中的杜拉克五问   当着记者的面,张勇拨打了几个电话,才颇有些周折地问到海底捞2010年拥有的店面准确总数——52家,比2009年新增16家。“怎么今年开了这么多……”他低声嘟囔。   就在10分钟前,站在“中外管理

6、大学生的就业步伐坚实有力 从大机关到小艺术团、从部队后勤接待到市场经理……走出校门跨进社会,越来越多的高校毕业生就业观念在逐渐转变,他们经过不懈努力,站在了能发挥自己作用的舞台上。   想到了就去做   “想到了就要克

7、遥想上班的第一天 遥想自己平生第一天上班,已记不清详细情形,只记得一个大概了。那时刚从学校毕业,还没有来得及去人才市场寻找工作,就已进入一个亲戚的公司上班,一做就是五年。 而且那时候上班很忙,且一周只休息一天,本来和同

8、又是新的一年,职场新人来报到 每年的六七月份,意味着应届毕业生们将正式离开学校,真正踏入社会,成为职场新鲜人。因为毕业生们在六七月份的时候才能拿到毕业证书和学位证书,之前的实习期并不能算是真正迈进社会。 而一旦成为职场新鲜人,就面

9、湖北就业形势仍然严峻   昨日(13日)从湖北省普通高校毕业生就业工作会议上获悉,今年我省有高校毕业生40万人,比去年增加4.4万人。其中,研究生3万,本科生16万,高职生21万。   据介绍,今年总体就业形势依然严峻。据

10、STAR法则在简历制作中的运用   STAR法则即为Situation Task Action Result的缩写,具体含义是:   Situation 事情是在什么情况下发生   Task:你是如何明确你的任务的   Action