第一篇:《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》征求意见稿-编制说明
国家标准《信息安全技术 工业控制网络监测安全技术要求及测试评价方法(征求意见稿)》编制说明
一、工作简况 1.1 任务来源
《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》是全国信息安全标准化技术委员会2015年下达的信息安全国家标准制定项目,由中国电子技术标准化研究院承担,参与单位包括北京匡恩网络科技有限责任公司,北京工业大学,中国信息安全测评中心、中科院沈阳自动化所、和利时集团、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。1.2 主要工作过程
1.2015年5月到6月,联系各个参与单位,进行任务分工和任务组织;研究现有国内外工控安全相关标准,分析各自特点,学习借鉴。2.2015年7月到8月 调研国内工业控制系统安全现状,学习、研究、讨论国内外相关的标准及研究成果, 确定并编写总体框架。3.2015.8-2015.12 编写标准初稿,在工作组内征求意见,根据组内意见进行修改。4.2016年1月,向全国信息安全标准化技术委员会专家崔书昆老师和王立福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安3所等科研院所、长城网际等安全厂商征求意见,根据反馈意见多次修改。5.2016年1月,标准编制组召开第一次研讨会,根据专家在会上提出的修改意见,对标准进行修改。6.2016年5月,标准编制组在“工控系统信息安全标准和技术专题研讨会”介绍了标准草案,听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见,对标准进行修改。7.2016年6月,标准编制组召开专题研讨会介绍了标准草案,并根据专家在会上提出的修改意见,对标准进行修改。8.2016年10月,在信安标委举办的成都标准会议周上,项目组就本标准研制情况在会上做了汇报,经组委会成员投票,同意形成征求意见稿。
二、编制原则和主要内容 2.1 编制原则
本标准的研究与编制工作遵循以下原则:(1)通用性原则
本标准在编制过程中参考了国内外诸多标准,包括:《工业过程测量与控制安全:网络与系统信息安全》系列标准(IEC 62443)、《推荐的联邦信息系统和组织的安全控制措施》(NIST SP 800-53)、《工业控制系统信息安全指南》(NIST SP 800-82)和《信息安全技术 工业控制系统安全控制应用指南》,既确保标准科学性,又使得标准内容符合我国国情。
(2)可操作性和实用性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。为此,在本标准的制定过程中,起草组广泛征求行业用户意见。所涉及的工业控制协议是广泛应用于各种工业控制领域的,也允许根据实际情况添加新的工业控制协议。2.2 主要内容
本标准以工业控制网络监测系统的安全功能要求为研究目标,研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁,确定需要监测分析的工业控制协议和监测系统应具备的功能。
主要内容为针对工业控制网络监测系统开展产品安全等级划分、监测技术要求、安全保证要求、测试评价环境及要求、安全保证测试等,从而规定了工业控制网络监测系统的安全技术要求和测试评价方法。
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
工业控制系统是国家关键基础设施的最重要组成部分,涉及一系列关系到国计民生的基础性行业,包括电力电网、轨道交通、石油化工以及核工业等。网络攻击破坏工业网络信息系统的同时,将极大威胁关键基础设施的安全,导致国家经济、国防等遭受重大损失。对于工控控制网络内的安全事件进行收集和分析,从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施是非常必要的。
工业控制网络监测是工业网络动态安全的核心技术,其相关设备和系统是整个工业控制系统安全防护体系的重要组成部分,它能对网络环境下日新月异的入侵事件和过程做出实时响应。工业控制系统特点决定了其安全产品需满足高可用性、不频繁升级、低时延、兼容众多工业私有协议、适应严酷工业现场环境等特性。因此工业控制网络监测系统设计需要兼顾工业应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。
本标准征求意见稿是在深入研究国外工业控制系统相关标准的基础上,充分调研国内工业控制系统应用,广泛听取了专家意见和建议的基础上形成的。
本标准编制期间调研和分析了国内工业控制系统应用和安全现状,研究和分析了国外工业控制系统安全体系相关文件和标准,内容包括对网络监测系统的安全功能要求和系统自身安全要求。安全功能要求包括安全事件监测、安全事件响应、安全策略配置和安全事件审计;自身安全要求包括产品管理、产品可靠性、系统维护、访问控制和通信安全。本标准是针对用于各行业的工业控制系统网络监测系统给出的安全技术要求和测试评价方法,可以用于工业控制网络监测系统设计、开发及测评。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况
本标准在编写时参考了GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法,GB/T 26269-2010 网络入侵检测系统技术要求,和 GB/T 26268-2010 网络入侵检测系统测试方法等相关标准。
五、与有关的现行法律、法规和强制性国家标准的关系
本标准的编制,要与《工业控制系统安全控制应用指南》等相关工业控制系统信息安全标准协调一致,提供工业控制系统信息安全领域的实施层标准指导。
六、重大分歧意见的处理经过和依据
本标准编制过程中未出现重大分歧。详见标准意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
本标准作为国家工业控制系统相关标准体系的一部分,在具体实施时建议与管理、评估类标准配合实施。
九、其他事项说明
本标准不涉及专利。
标准编制组 2016年11月
第二篇:工业盐酸安全技术说明
工业盐酸安全技术说明书
一 化学品名称
分子式:HCl 相对分子质量:36.46 二
主要组成部分与性状
主要成分:32%氯化氢
外观与性状:无色无臭透明液体,由于纯度不同,颜色自无色、黄色棕色,有时呈浑浊状。三 健康危害
侵入途径: 吸入、食入。
健康危害:对皮肤、粘膜等组织烈的刺激和腐蚀作用。蒸汽或雾可引起结膜水肿、角膜混浊,以致失明,引起呼吸道刺激,重者发生呼吸困难和肺水肿;高浓度引起喉痉挛或声门水肿而窒息死亡。口服后引起消化道烧伤以致溃疡形成;严重者可能有胃穿孔、腹膜炎、肾损害、休克等。皮肤灼伤轻者出现红斑,重者形成溃疡;溅入眼内可造成灼伤,甚至角膜穿孔、全眼失明。四 急救措施
皮肤接触:脱去被污染的衣着,用流动的清水彻底冲洗皮肤。眼睛接触:提起眼睑,用大量流动清水或生理盐水冲洗至少15分钟。就医
吸入:迅速脱离现场至空气新鲜处。呼吸困难时给输氧。如呼吸停止,立即进行人工呼吸。就医。
食入:饮足量温开水,催吐,就医。五 燃爆特性与消防
燃烧性:不易燃 危险特性:能与一些活性金属粉末发生反应, 放出氢气。遇氰化物能产生剧毒的氰化氢气体。与碱发生中合反应,并放出大量的热。具有较强的腐蚀性。
灭火方法:用碱性物质如碳酸氢钠、碳酸钠、消石灰等中和。也可用大量水扑救。六 泄漏应急处理
迅速撤离泄漏污染区人员至安全区,并进行隔离,严格限制出入。建议应急处理人员戴自给正压式呼吸器,穿防酸碱工作服。不要直接接触泄漏物。尽可能切断泄漏源。小量泄漏:用砂土、干燥石灰或苏打灰混合。也可以用大量水冲洗,洗水稀释后放入废水系统。七 储运注意事项
储存于阴凉、通风的库房。库温不超过30℃,相对湿度不超过85%。保持容器密封。应与碱类、胺类、碱金属、易(可)燃物分开存放,切忌混储。储区应备有泄漏应急处理设备和合适的收容材料。八
防护措施
呼吸系统防护:可能接触烟雾时,佩戴防毒口罩。
眼睛防护: 一般不需特殊防护,高浓度接触可戴化学安全防护眼镜。
身体防护: 穿耐酸碱工作服
手防护:
高浓度接触时,戴耐酸碱防护手套。
其他:工作现场禁止吸烟、进食和饮水。工作毕,淋浴更衣,注意个人清洁卫生。
第三篇:上海市教育系统网络信息安全技术要求
上海市教育委员会文件
沪教委科„2010‟2号
上海市教育委员会关于印发
《上海市教育系统网络信息安全技术要求》的通知
各高等学校,各区县教育局,市教委各直属单位:
根据《上海市教育委员会关于加强本市教育系统网络与信息安全工作的通知》(沪教委办„2009‟62号),为切实做好2010年上海世博会期间本市教育系统的网络与信息安全保障工作,现结合本市教育单位现状,并根据公安部等《信息安全等级保护管理办法》(公通字„2007‟43号)、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安„2009‟1429号),制定《上海市教育系统网络信息安全技术要求》(见附件),各单位应本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,对照要求,深化本单位网络与信息系统安全防护,切实做好安全管理工作,确保网络信息系统安全。
特此通知。
— 1 — 附件:上海市教育系统网络信息安全技术要求
上 海 市 教 育 委 员 会 二○一○年一月十三日
主题词:教育
学校
信息
安全
通知 上海市教育委员会办公室
2010年1月14日印发
(共印120份)
— 2 — 附件:
上海市教育系统网络信息安全技术要求
一、物理安全要求
网络设备如交换器、服务器等应放置在符合产品规定要求的可靠场所。网络设备放置场所应具备物理访问控制、防盗窃和防破坏、防雷击、防火防水和防潮、防静电等基本条件,还应当能够进行温湿度控制,具有良好的电力供应并做好电磁防护。
非工作人员对重要网络设备放置区域的访问必须经过有关负责人的批准并由专人陪同或在专人监督下进行,并记录备案。
二、网络安全要求 1.结构安全
应保证关键网络设备的业务处理能力具备冗余空间,以满足业务高峰期需要;
关键网络设备及链路应有备份(冷备份或者热备份); 应保证接入网络和核心网络的带宽满足业务高峰期需要。2.访问控制
应增强网络边界设备的访问控制粒度,增加安全审计、边界完整性检查、入侵防范及恶意代码防护等设备;
应在网络出口处对网络的连接状态进行监控,并能及时报警和阻断; 对所有网络设备的登录应保证鉴别标识唯一和鉴别信息复杂等要求。
三、主机系统安全要求 1.PC机系统安全要求
— 3 — 对PC机应进行基本的防护,要求主机做到简单的身份鉴别、粗粒度的访问控制以及能够进行恶意代码防范并及时升级。
2.服务器系统安全要求
对主机应进行基本的防护,要求主机做到身份鉴别、访问控制以及能够进行恶意代码防范;
用户只能根据自己的权限大小来访问系统资源,不得越权访问; 要求对服务器用户行为、系统异常情况等基本情况进行审计、记录; 服务器应仅安装必要的系统组件和服务,并设置升级服务器方式以及时更新操作系统和应用软件;
服务器应安装实时检测和查杀恶意代码的软件产品,并及时升级; 服务器操作系统和数据库系统的口令应具有一定的复杂度、不易被冒用;
服务器应通过设定终端接入方式、网络地址范围等条件限制终端登录;
服务器应安装防火墙,仅开放满足应用系统要求的最低数量的端口,其余端口应予以关闭。
四、应用安全要求
对应用进行基本的防护,要求做到身份鉴别,细粒度的访问控制以及数据有效性检验等基本防护,应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更改等;
应定时对重要信息进行有选择的数据备份;
— 4 — 应提供恢复重要信息的功能;
应提供重要网络设备、通信线路和服务器的硬件冗余。
五、数据安全及备份恢复
为确保数据完整性,应对重要用户数据传输过程提出的要求,能够检测出数据完整性是否受到破坏,同时能够对重要信息进行备份;
要求鉴别信息和重要业务数据在传输过程中都要保证数据完整性。要求实现鉴别信息存储保密性,实现备份冗余。
六、管理要求
应落实“安全技术负责人”制度,安全技术责任人作为安全专员负责信息网络安全评估、安全技术方案制订和实施,并对安全事故负责;
应开展安全意识教育和培训;
应告知相关人员的安全责任和惩戒措施;
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;
应对安全教育和培训的情况和结果进行记录并归档保存。应加强与兄弟院校、公安机关、网络运营商的合作与沟通,以便在发生安全事件时能够得到及时的支持。
七、系统运维管理要求
应对机房运行环境进行日常检查记录,包括温度、湿度、电力等; 应对信息系统的日常运行进行监控,包括各类系统的运行状态(例如CPU负载、内存使用率、磁盘状态、电源状态等)、是否存在异常进程等;
应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
— 5 — 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份。
八、应急处置要求
应制定应急预案,并进行训练和演练;并配备照相机等记录取证设备,在应急操作中随时记录;
应严格执行网络巡检制度,做好日常巡查及日志保存工作,以及时发现问题并及时处置突发性安全事件,发现异常情况应启动应急预案,并判定应急事件级别,根据级别上报相关单位;
应急处置过程中,应先界定事件发生原因,并根据自然灾害与人为破坏两种情况进入以下两类应急处置流程:
自然灾害处置流程:应根据实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
人为破坏处置流程:首先判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用相应方案。
应及时报告处置工作进展情况,直至处置工作结束。在必要的情况下可根据危害程度适当地发布预警。
第四篇:建筑工程安全现场技术控制要求
安全网、脚手片的固定必须牢固,经常检查严防施工人员私自拆除、损坏,脚手片上的多余材料或垃圾及时清理到楼层上,严禁高空抛撒。外架上有幕墙保温墙体施工,内有楼层装修,均有易燃材料。木板、木梢、保装纸箱、塑料纸膜,存在的明火有电焊、抽烟、电器破损、电缆不规范的接头,消防隐患很大,采取的主要措施:①设置专用的消防水源和消防立管,每层留设消防水源接口,保证消防水源充足,具有足够扬程的高压水泵。②及时清理楼层易燃废料。③电焊时必须有防焊渣乱溅措施,焊接时应存放一桶水,发现火源及时灭除。④高层如有发生火灾,求救119时必须说明发生火灾的高度,以便火警有针对性的出警灭火。建筑施工模板安全技术管理。
施工现场的支模架,在搭设时梁底往往纵向立杆间距大于已审批专项施工方案中的要求,施工管理人员还会自认经验丰富,在梁底加一排立杆,减少立杆横向间距,想当然的认为增加一排立杆,原来的两根立杆受力,现在三根立杆受力,应该安全,不会有问题,往往“想当然的经验”会害人,分析:原来是间支梁受力体系,增加一排后变成二等跨连续梁受力体系,间支梁支座的反力为2F,增加后两端的支座反力为0.667F,但中间立杆的反力为2.667F,由此可见,如果间支梁的两端支座受力超过立杆的失稳临界值时,即便梁底增加一排立杆,仍不能起到排除失稳的危险,只是减轻了管理人员的心理压力,后果很严重,预防措施:①必须严格执行专项施工方案的要求。②减小立杆的纵向间距。③当支座反力较大时,双扣件的抗滑移不能满足时,必须改为托撑或其他可靠措施。④双扣件共同作用时,扣件之间应相互顶紧,不得留有间距。⑤必须采用力矩扳手进行双扣件的紧固检查。⑥严格执行规范的构造措施,增强架体的稳定性和刚性。⑦不要无视扫地杆的作用,不要将扫地杆当作“拌脚石”或赚钱的项目,因为扫地杆是提高架体承载力的有力保障。P=4??承载力的临界值与杆件的计算长度的平方成反比。
目前,随着建筑行业的快速发展,科学技术在提高,但施工现场操作人员素质的提升却较慢,人是确保工程质量安全的第一要素,必须加强管理人员、操作人员的素质教育,培养责任心,认真履行管理职责,才能将工程做大,将企业做强,让社会放心。细节决定成败,将安全做细,工程无事故便是盈利,向管理要效益,保障参建人员平安,便是对社会的贡献。
第五篇:网络信息安全与防火墙技术
网络信息安全与防火墙技术
钟琛
(2012级软件开发(3)20150609)
摘 要:随着计算机网络技术的迅速发展,特别是互联网应用得越来越广泛,网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点,使其安全得不到保障。社会针对计算机网络安全,提出了许多保护措施,其中防火墙技术的应用相对较为明显,不仅显示了高水平的安全保护,于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的,所以我们应该高度重视和注意防火墙技术。因此,该文对计算机网络安全进行研究,并且分析防火墙技术的应用。关键字:计算机;网络技术;网络安全;防火墙技术
Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology
随着计算机网络的飞速发展,人们的工作,学习和生活正在不断地被计算机信息技术改变,人们的工作效率有了很大的提高,但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点,这种形式在网络和网络中极容易受到黑客,病毒,恶意软件和其他意图不明的行为攻击,因此网络信息的安全性和保密性是一个关键的问题。因此,网络的安全措施应该是一个能够面对全方位不同的威胁,只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下: 1.1计算机网络安全
安全是计算机网络运行的主要原则,随着现代社会的信息化发展,计算机网络已经得到了推进,但是其在操作过程中依然出现安全威胁,影响计算机网络的安全级别,计算机网络安全威胁包括:
1.1.1 数据威胁
在计算机网络中数据是主体,在运行的过程中数据存在许多漏洞,从而导致计算机网络的安全问题。例如:一个计算机网络节点的数据,比较容易篡改,破坏数据的完整性,攻击者利用数据内容的一部分,窥探内网数据、泄漏数据,利用计算机网络系统漏洞,植入木马、病毒,导致系统数据瘫痪,无法支持计算机网络安全的运行。1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽视的危险部分,最主要的是人为破坏,如:病毒、木马的攻击等。目前,这种类型对计算机网络的影响比较大,一些网站病毒、邮件病毒等方式的攻击者,对用户的计算机进行攻击、病毒植入时,大多是因为用户操作习惯的不正确,从而使计算机网络系统出现漏洞。例如:用户浏览外部网站很长一段时间,但不能对病毒进行定期处理,攻击者可以很容易地找出用户的浏览习惯,添加此类链接的特性攻击网站,当用户点击该网站时,病毒立即开始攻击客户的计算机。1.1.3 环境威胁
在共享环境中的计算机网络,资源受到威胁。环境是计算机网络操作的基础,用户在访问外部网络时必须经过网络环境,所以是有显著的环境威胁的,当用户访问网络时,该攻击在网络环境中非常强,攻击者通过网络环境设置主要攻击范围,特别是对网络环境内交互的数据包进行攻击,保护内部网络的结构受到损坏,对环境的威胁,必须发挥防火墙技术的全部功能。
2防火墙的基本原理 2.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查,然后决定是否允许该通信,将内部网对外部网屏蔽信息、运行状况和结构,从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙本质上是一种隔离控制技术,其核心思想是在网络中不安全的环境,构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器,它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。
防火墙可以全部是硬件,也可以全部是软件,它也可以是硬件和软件两者。防火墙与内部网络和外部网络(互联网)之间的关系如图1。
图1 2.2 防火墙的作用
2.2.1 “木桶”理论在网络安全的应用
网络安全概念有一个“木桶”理论:一只水桶能装水并不取决于桶有多高,而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙,网络安全只能体现在许多主机的功能,所有主机都必须共同努力,以实现更高程度的安全性。防火墙可以简化安全管理,网络安全是加强防火墙系统,而不是分布在内部网络中的所有主机上。
2.2.2 内部网络安全性的强化
防火墙可以限制未授权的用户,如防止黑客或者破坏网络的人进入内部网络,不让不安全的脆弱性的服务(如NFS)和没有进行授权的信息或通信进出网络,并抵抗从各个地方和路线来的攻击。
2.2.3 将网络存取和访问进行记录、监控
作为一个单一的网络接入点,所有传入和传出的信息必须通过防火墙,防火墙是非常适合收集系统和网络的使用和误用,并且将记录信息。在防火墙上可以很容易地监控网络安全,并且报警。
2.2.4 限制内部用户访问特殊站点
防火墙来确定合法用户的用户认证。通过事先确定的检查策略,以决定哪些内部用户可以使用该服务,可以访问某些网站。2.2.5 限制暴露用户点,阻止内部攻击
用防火墙将内部网络进行划分,它使网段隔离,以防止网络问题通过整个网络,这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响,同时保护网络从该网络中的其他网络攻击
2.2.6 网络地址转换
防火墙部署为一个NAT逻辑地址,因此防火墙可以使地址空间短缺的问题得到缓解,并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点,所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络
防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布,有机地联系起来,形成一个整体。不仅省去了专用通信线路,而且还提供技术支持,信息共享。3防火墙的类型
在设计中的防火墙,除了安全策略,还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术,我们可以分为四个基本类型:包过滤型、网络地址转换--NAT,代理服务器型和监视器类型。3.1包过滤型
包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的,数据被划分成大小相当的包,每个包将包含特定信息,如地址数据源,目的地址,TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点,如果发现来自不安全站点的数据包,防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的,注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着,用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时,会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口,所以地址和端口通过不安全网络卡和外部网络连接的伪装,所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型
代理防火墙同样也可以被称为代理服务器,它比包过滤产品更加安全,并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于,完全阻断两者的数据交换。从客户端的角度来看,代理服务器充当真实服务器,从服务器运行时,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据,第一数据请求发送到代理服务器,然后代理服务器获得数据到服务器响应请求,然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通,这对企业网络系统来说,外部的恶意破坏不足以伤害到。3.4监测型
监控防火墙是新一代的产品,最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性,实时监控数据,在监视器防火墙上的数据的分析的基础上,可以有效地确定各层的非法侵入。与此同时,这种检测防火墙产品一般还具有分布式探测器,这些探测器放置在节点、各种应用服务器和其它网络之间,不仅可以检测来自网络外部的攻击,同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算,在攻击的网络系统中,从网络中有相当比例的是从内部网络开始的。因此,监测的防火墙不仅超越了防火墙的传统定义,而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙,但由于监测防火墙昂贵的实施技术,而且不易于管理,所以现在在实际使用中的防火墙产品仍然在第二代代理型产品,但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本,用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求,而且还可以有效地控制总拥有成本的安全系统。4 结束语
防火墙是新型的重要的Internet安全措施,在当前社会得到了充分的认可和广泛的应用,并且由于防火墙不仅仅限于TCP / IP 协议的特点,也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分,所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全,那么这和许多因素有关,要想得到一个既高效又通用、安全的防火墙,通常要将各种各样的防火墙技术和其它网络安全技术结合在一起,并且配合要有一个可行的组织和管理措施,形成深度有序的安全防御体系。
参考文献
[1]宿洁,袁军鹏.防火墙技术及其进展,计算机工程与应用(期刊论文),2004 [2]马利,梁红杰.计算机网络安全中的防火墙技术应用研究,电脑知识与技术,2014 [3]解静静.网络信息安全与防火墙技术,计算机光盘软件与应用,2014 [4]陈倩.浅析网络安全及防火墙技术在网络安全中的应用,网络安全技术与应用,2014 [5]赵子举.浅谈入侵检测与防火墙技术,电子世界,2014
点击咨询 