欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

信息系統(tǒng)安全防護控制策略

2018-01-26 14:09:56 大云網(wǎng)  點擊量: 評論 (0)
隨著互聯(lián)網(wǎng)技術(shù)、計算機技術(shù)、通信技術(shù)的發(fā)展,信息化已經(jīng)滲透到我們的日常生活,改變了人們的生活方式和工作模式,信息化程度已經(jīng)成為衡量

隨著互聯(lián)網(wǎng)技術(shù)、計算機技術(shù)、通信技術(shù)的發(fā)展,信息化已經(jīng)滲透到我們的日常生活,改變了人們的生活方式和工作模式,信息化程度已經(jīng)成為衡量企業(yè)集團發(fā)展階段的重要標志。人們在感受到信息化給日常生活、辦公帶來巨大變化的同時也應(yīng)該清醒的認識到,信息系統(tǒng)安全問題已成為影響國家、政治、經(jīng)濟、文化、教育、企事業(yè)單位的發(fā)展的重要因素。尤其是涉及國防科技工業(yè)、軍隊的涉密企事業(yè)單位,信息系統(tǒng)的安全顯得尤為重要。在信息系統(tǒng)的日常運行與維護中,外界入侵者利用操作系統(tǒng)或者應(yīng)用系統(tǒng)的自身缺陷進行攻擊,內(nèi)部人員發(fā)泄性的惡意攻擊,系統(tǒng)管理人員的誤操作等等,這些都可能導致信息系統(tǒng)的數(shù)據(jù)丟失,情節(jié)嚴重的可能會導致系統(tǒng)癱瘓,進而影響系統(tǒng)的運行。

1、信息系統(tǒng)的安全接入技術(shù)

信息系統(tǒng)的安全防護技術(shù)主要有VLAN 劃分,MAC地址綁定,配置ACL等。其目的是確保接入該系統(tǒng)的終端設(shè)備是安全、可信的。在圖1 所示的拓撲圖中,由內(nèi)部網(wǎng)絡(luò)、DMZ 區(qū)域、外網(wǎng)區(qū)域三部分組成。左邊為內(nèi)部網(wǎng)絡(luò),我們也稱之為trust區(qū)域。即對于管理員來講是可信區(qū)域,內(nèi)部網(wǎng)絡(luò)中不同的部門被劃分在不同的VLAN 中,VLAN 之間不能相互通信,同一VLAN 成員之間可以相互通信,內(nèi)部成員可以訪問內(nèi)網(wǎng)郵件系統(tǒng)、OA系統(tǒng)等;將內(nèi)網(wǎng)與防火墻的內(nèi)網(wǎng)接口相連形成的區(qū)域稱之為非軍事區(qū),即DMZ 區(qū)域。DMZ 區(qū)域負責為外網(wǎng)提供WEB 瀏覽服務(wù);將防火墻的外網(wǎng)口與外部網(wǎng)絡(luò)相連稱之為外部區(qū)域,即untrust 區(qū)域,對于管理員來講是非可信區(qū)域,即可能存在外部的攻擊、入侵等行為的地方。

信息系統(tǒng)安全防護控制策略

2、訪問控制策略的設(shè)置

CISCO 交換機將網(wǎng)絡(luò)模型分為三層:接入層、分配層、核心層,其中接入層主要負責終端設(shè)備的安全接入,確保接入終端的合法、唯一、可靠、安全;分配層負責數(shù)據(jù)的路由和過濾功能;核心層主要負責數(shù)據(jù)的高速轉(zhuǎn)發(fā),提高網(wǎng)絡(luò)的吞吐率。

信息系統(tǒng)安全防護控制策略

本論文利用Cisco Packet Tracer 5.3 模擬器對訪問接入控制策略進行仿真,如圖2 所示。市場部占用192.168.1.0/24,財務(wù)部占用192.168.2.0/24,科技部占用192.168.3.0/24,人力占用192.168.4.0/24。為內(nèi)網(wǎng)提供辦公系統(tǒng)服務(wù)器IP 地址為192.168.10.1,ERP 系統(tǒng)的IP 地址為192.168.20.2,郵件系統(tǒng)為192.168.30.3,人力系統(tǒng)地址為192.168.40.4。

2.1 VLAN 劃分

VLAN 是Virtual Local Area Network 的縮寫,在信息系統(tǒng)中,劃分VLAN 有許多優(yōu)點:

1) 隔離網(wǎng)絡(luò)廣播。

2) 簡化網(wǎng)絡(luò)管理。

3) 增強網(wǎng)絡(luò)安全性。

4) 提高網(wǎng)絡(luò)管理的靈活性。

VLAN 有靜態(tài)VLAN 和動態(tài)VLAN 之分,靜態(tài)VLAN 具有安全性高、更容易設(shè)置和監(jiān)控而被管理員經(jīng)常采用。假設(shè)市場部占用VLAN10,財務(wù)部占用VLAN20,科技部占用VLAN30,人力占用VLAN40。這便完成了各個部門之間廣播域的隔離。

信息系統(tǒng)安全防護控制策略

2.2 MAC 地址綁定

 

為交換機端口制定MAC 綁定策略是保證接入終端唯一性的保證,部分命令如下:

 

Switch (config-if) # switchport port-security maximum 1

 

Switch (config-if) # switchport port-security mac-address sticky

 

Switch (config-if) # switchport port-security violation shutdown

 

完成上述配置后,用show mac-address 命令查看MAC表,該表中只有VLAN10的兩臺PC的MAC地址分別接入fa0/1 和fa0/2。通過對端口進行MAC地址綁定,sticky命令即可以將首次接入交換機的終端設(shè)備MAC地址記錄在MAC 表中。當有其他設(shè)備試圖接入網(wǎng)絡(luò)時,該端口會因違反該策略而被關(guān)閉。此時需要管理員手動開啟該端口,并對違反該策略的終端設(shè)備的情況進行備案。當接入一臺未綁定策略的計算機試圖ping 192.168.1.3 時,返回request timed out,即該設(shè)備不能訪問該網(wǎng)絡(luò)。如圖4 所示。

信息系統(tǒng)安全防護控制策略

2.3 ACL 規(guī)則

訪問控制列表對網(wǎng)絡(luò)的運行效率和網(wǎng)絡(luò)運轉(zhuǎn)方面具有特殊的貢獻,網(wǎng)絡(luò)管理員使用訪問控制列表對企業(yè)中的傳輸數(shù)據(jù)進行過濾。管理員可以收集基本的數(shù)據(jù)包流量、統(tǒng)計數(shù)據(jù)和可實施的安全策略,保護敏感的設(shè)備遠離未授權(quán)的訪問。

標準訪問控制列表是利用源地址對數(shù)據(jù)包進行過濾,以達到對進出網(wǎng)絡(luò)數(shù)據(jù)包控制的目的。要求財務(wù)ERP 系統(tǒng)192.168.20.2 只允許財務(wù)人員、市場部192.168.1.2 和人力部192.168.4.2 訪問,其他人員則禁止訪問。則ACL 設(shè)置部分代碼如下:

信息系統(tǒng)安全防護控制策略

同樣,人力192.168.4.2、192.168.4.3 主機和192.168.20.2 服務(wù)器之間的網(wǎng)絡(luò)連通可以通過ping命令來測試,其結(jié)果如下:

 

大云網(wǎng)官方微信售電那點事兒

責任編輯:電改觀察員

免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
?
主站蜘蛛池模板: 欧美中文字幕无线码视频| 欧美福利一区| 亚洲国产婷婷香蕉久久久久久| 婷婷亚洲激情| 欧美午夜不卡在线观看最新| 亚洲国产成人久久精品hezyo| 亚洲小视频在线| 台湾一级特黄精品大片| 亚洲国产精品自在在线观看| 欧美影片一区二区三区| 日本三级黄在线观看| 日本a级片视频| 一级毛片免费观看久| 亚洲高清中文字幕一区二区三区| 四虎影院黄色| 日韩欧美国产成人| 一本一道dvd在线观看免费视频| 日韩久久久精品中文字幕| 亚洲经典一区| 日韩欧美中文字幕一区| 青青艹在线视频| 亚洲色五月| 亚洲综合视频| 世界一级毛片| 亚拍精品一区二区三区| 日韩黄毛片| 视色4se影院在线播放| 日韩欧美在线综合网| 亚洲综合图片区| 亚洲视频h| 天天干天天干天天操| 午夜一区二区免费视频| 一级毛片私人影院| 亚洲伊人久久一次| 亚洲国语在线视频手机在线| 人妖在线播放| 色聚网久久综合| 亚洲尤物视频| 日韩欧国产精品一区综合无码| 一级毛片真人免费观看| 四虎1515hh免费大炮社区|