加入收藏 | 设为首页 | 会员中心 | 我要投稿 均轻资讯网 (https://www.52junqing.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

局域网的网络安全保护系统设计介绍

发布时间:2023-01-03 15:24:25 所属栏目:安全 来源:
导读:  1.网络安全实施难点:

  根据GB17859—1999《计算机信息系统安全保护等级划分准则》共有五个等级防护模型:

  1)用户自主保护;2)系统审计保护;3)安全标记保护;4)结构化保护;5)访问验证
  1.网络安全实施难点:
 
  根据GB17859—1999《计算机信息系统安全保护等级划分准则》共有五个等级防护模型:
 
  1)用户自主保护;2)系统审计保护;3)安全标记保护;4)结构化保护;5)访问验证保护。
 
  GB/T25070-2019《网络安全等级保护安全设计要求》的三级和四级采用的保护模型对应于GB17859—1999的安全标记保护。即现代的等保要求实际上是降低了。但由于计算计算机信息系统的高速发展,安全标记(软件端口号)和敏感标记(用户ID、进程ID等)等处理方式在操作系统中已经标准化。如:应用层的通讯协议已经标准化,因此应用程序的开发者难以支配安全标记(端口号)的设置和处理。将向操作系统申请或注册端口号改成向安全中心申请或注册端口号。对于标记不正确的数据包也难以处理。
 
  这可能目前等级保护安全设计的难点:1999年时,当时的安全管理中心的管理者是计算机系统管理员。而现在是安全监控中心。因此安全标记的申请和注册申请由于审核批准者的变化,需要改写几乎所有应用层的标准通讯协议,如HTTP等。显然“套接字”的API编程、应用层标准协议使得GB/T250-2019难以实施。例如:应用层的“读”命令,是“首地址+长度”,难以填入安全标记。
 
  即使,安全标记(端口号)向安全中心申请,也难以设计计算节点的保护层,毕竟网络层、操作系统层的网络攻击难以通过应用层的安全标记进行保护。
 
  2.能否简单实现GB17859—1999的五级保护模型
 
  既然安全标记已经成为现代网络安全TCP/IP的套接字(IP+端口号)保护的标准,并且实际上已经广泛应用,所以不需要再加一个安全标记(强制访问控制标记)来重复。最好的方式是对网络进行虚拟化的结构化设计
 
  xp系统装win7系统 电脑出现蓝屏_电脑系统安全_器械警戒系统药物安全警戒系统
 
  根据百度百科“虚拟局域网”定义,显然可以在局域网中实现基于VLAN的逻辑信道访问控制的网络设计,这样就解决了基于局域网的结构化保护设计。
 
  器械警戒系统药物安全警戒系统_xp系统装win7系统 电脑出现蓝屏_电脑系统安全
 
  由于是基于VLAN标记授权的信道逻辑网络,与非授权的设备完全隔离,当VLAN用户组内设备试图寻址非授权设备时,由于ARP缓存表内没有非授权设备的MAC地址电脑系统安全,故不得不进行广播寻址。故通过比对是否是授权设备间的寻址、还是非授权设备间的寻址。克服了侦听和判别的困难。实现了访问验证的功能。
 
  3.与GB/T25070-2019《网络安全等级保护安全设计要求》标准差异化的处理
 
  由于网络安全的强制标记访问控制是用户解决不同安全等级的授权访问隔离问题,如保密级和非保密级在网络中的隔离。所以,可以同样适用VLAN标记去构成保密网和非保密网。由于软件套接字的端口号是计算机进程访问的最小单元,如上图中左上侧小图所示:采用不同的网口就可以实现不同安全等级授权的数据在不同的虚拟网中传输。互不干扰。由于目前的操作系统、应用程序和文件系统已经能自主关联软件端口号标记,采用不同的网络端口即可和VLAN标记关联绑定。当然在实际使用,由于VLAN标记能够保护数据端到端的传输。是否需要采用多网口取决于实际安全访问策略的设计。
 
  4. 逻辑行道结构化设计和访问验证的防护效果
 
  发明专利“一种基于VLAN构造访问控制的方法”解决了局域网的结构化信道设计(VLAN用户组)。而“一种基于VLAN用户组的防主机IP扫描方法”解决了信道通讯的访问验证。
 
  xp系统装win7系统 电脑出现蓝屏_器械警戒系统药物安全警戒系统_电脑系统安全
 
  在局域网内,几乎任何网络威胁可以被阻止:
 
  a. 后门和木马攻击已被VLAN标记隔离,难以突破的VLANTAG用户组授权。
 
  b. IP扫描渗透(漏洞)会被发现和阻止,无法纵深渗透
 
  c. DDoS/CC攻击,在没有获知攻击目标和肉鸡资源的条件下(隔离)无法实施(黒客不可能穿透VLAN通知用户组内的肉鸡目标地址,并协调发动攻击)
 
  d. 在VLAN标记保护下,支持数据传输端到端的保护,非授权通讯的窃听、数据篡改完全不可能(公安三所检测)。在有地址冲突机制检测和IP端口绑定的情况下,即使同一个VLAN用户组内,IP劫持也不可能发生。
 
  e. 若内部人员不能同时获取网络管理权和计算机管理权的情况下,无法发动恶意或无意的网络攻击,摆渡攻击无效。
 
  f. 内联、外联、拓扑变更、接入检测,通讯设备可以检测
 
  g. 无网关IP、所有网络交换机IP地址可以封闭在独立的VLAN中,攻击者无法感知,无法攻击。
 
  h. VLANTAG(标记)计算机程序无法感知和篡改,恶意程序任何规避行为(修改IP、MAC、程序代码重编译、攻击流量调整、扫描行为调整)都是无效的。
 
  5. 案例说明
 
  通过结构化的虚拟信道设计,关键的历史服务器和SCADA采集将被保护,若“震网“APT攻击通过外来工程师摆渡入网的病毒仍无法攻击SCADA系统,有效保护了控制系统的安全。无论采用木马或蠕虫,在结构化保护和访问控制验证技术的系统中,无法对计算机系统造成破坏。
  
  6.结论
 
  几乎所有的局域网,如果采用VLAN构造访问控制,实现结构化逻辑信道设计保护,并完成访问验证检测。至少等保要求的局域网将是安全的。
  
 

(编辑:均轻资讯网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2015-2023 https://www.52junqing.cn/ All Rights Reserved. 均轻资讯网

      ICP备案:浙ICP备16012122号