网络安全技术规划合集12篇
网络安全技术规划篇1
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2193-04
2007年5月,641台信息化小组按局信息办制定的规范独立自主地完成了台站局域网的建设。641台局域网分为OA网和技术网两个部分。641台OA网通过专用的2M电信线路连接至无线局,OA网下联技术网。OA网与技术网之间按局信息办的规范要求应采用“网闸”进行隔离,但由于客观原因,并没有进行实施,只是在核心交换机S6503采用安全访问控制列表的方式简单地对台站技术网进行隔离,这样OA网与技术网之间没有任何网络安全产品,技术网完全暴露在OA网下,各发射机控制系统很容易受到攻击、病毒入侵,甚至受控制,网络安全将直接关系到安全播音。2009年10月,太极公司将在我台部署技术业务管理系统和运行管理系统,从安全的角度考虑,台站的生产业务和日常办公业务分别位于技术网和办公网中,两网之间应采用防火墙作为安全隔离设备,以避免办公网上的非业务人员进入技术网。这种隔离,也使得各类人员都可以专注于自己专项的业务,提高工作效率。由于当时OA网防火墙改用启明星辰的USG防火墙(多功能网关)替换下Eudemon 200防火墙,为进一步规范我台技术网,完善641台技术网的建设,结合一台OA网与技术网现状,参照局信息办制定的《全局网络建设要求V1.0(修订稿)》,我们重新规划技术网网络拓朴结构(如图2示),在办公网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,防火墙配置IP地址和技术网/办公网核心交换机相连,通过静态路由实现网络连通,配置安全策略,对办公网和技术网进行安全访问限制。并在技术网核心交换机上划分VLAN隔离安全播出业务,包括管理VLAN、服务器VLAN、中波发射机房vlan、短波发射机房VLAN、电力运行室VLAN等,并在交换机的业务网段过滤掉一些病毒、恶意软件使用的端口,实现对OA网和技术网进行安全访问限制。具体实施如下:
为了满足应用系统安全性考虑,在OA网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构后,实现与OA网隔离,通过采取各种安全措施从而防范来自广域网和台内OA网的恶意攻击,同时控制技术网内部网络对广域网和台内OA网的访问,因此在OA网核心交换机和技术网核心交换机之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构,根据我台的实际情况从以下几个方面实现对办公网和技术网进行安全访问限制。
1641台技术网逻辑设计
1.1技术网IP地址和VLAN设计
641台技术网按照全局统一IP地址管理规则进行IP地址管理和分配,遵循IP地址编址的基本原则:唯一性、连续性,可扩充性和可管理性。根据自台的网络状况并考虑到将来的扩展,设计VLAN划分方案如下表1。
表1
1.2办公网和技术网隔离结构设计
OA网和技术网的互联采用静态路由协议,在OA网S6503核心交换机、技术网Eudemon 200防火墙和技术网S3952-EI交换机上分别指定去往各网的静态路由,在OA网和技术网的边缘采用OSPF重分布(Route Import)的方式将去往技术网的静态路由到OSPF中。台技术网网段通过Eudemon 200防火墙和办公网互联,只有特定的通讯服务器可以进行数据交换,禁止其他通讯;台技术网网段只在本台技术网有效,禁止在本台办公网和广域网路由。
图1
1.3技术网网络安全
a.通过路由协议设置,限制广域网无法访问台站技术网;
b.通过技术网防火墙,限制只有本台特定的通讯服务器可以和技术网特定服务器进行数据交换,并保障台站办公网无法访问技术网;
c.在技术网建立虚拟局域网。通过VLAN的划分隔离安全播出业务;
d.基于用户定义的策略,建立访问控制列表,控制技术网内业务之间的互访。
e.通过对连接应用的交换机端口添加ACL策略来限制可以访问的用户,也可以采用单向访问列表的方式允许一个网段或一段地址访问其他地址,但其他地址不能访问这个网段。
f.办公网的某特定PC用户要访问技术网需通过l2tp vpn拔号接入。
2技术网网络规划与网络设备安全策略的实施
为了满足安全性考虑,在办公网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构如图(2),实现与OA网隔离,通过采取各种安全措施从而防范来自广域网和台内OA网的恶意攻击,同时控制技术网内部网络对广域网和台内OA网的访问,因此在防火墙设备引入安全域的概念,引入这个概念后,安全策略的配置就要方便多了。根据我台的实际情况以及对网络规划的需求,通过分析,从以下几个方面满足我台技术网对网络安全性的要求:
图2
图3
表2具体实现的措施
表3
配置技术网交换机网络设备管理地址网段为172.200.52.0/24,网络管理员可以在OA网采用l2tp vpn方式拔入安全进入技术网,才能对技术网内的交换机进行TELNET连接和登陆设备,还有在技术网S3952-EI核心交换机上将同一部门的计算机划分至同一个逻辑子网,然后再根据不同部门的地理位置分配不同的子网IP地址和子网掩码。为了保证网络的安全,在技术网核心交换机S3952-EI上的业务网段过滤掉一些病毒、恶意软件使用的端口。访问控制列表配置如下:
acl number 3001 match-order auto
rule 0 deny tcp destination-port eq 6881
rule 1 deny tcp destination-port eq 6882
rule 2 deny udp destination-port eq 6883
rule 3 deny tcp destination-port eq 6884
rule 4 deny udp destination-port eq 6885
rule 5 deny tcp destination-port eq 6886
rule 6 deny udp destination-port eq 6887
rule 7 deny tcp destination-port eq 6888
rule 8 deny udp destination-port eq 6889
rule 9 deny tcp destination-port eq 4444
rule 10 deny udp destination-port eq tftp
rule 11 deny tcp destination-port eq 135
rule 12 deny udp destination-port eq 135
rule 13 deny tcp destination-port eq 445
rule 14 deny udp destination-port eq 445
rule 15 deny tcp destination-port eq 593
rule 16 deny udp destination-port eq 593
rule 17 deny udp destination-port eq 1434
rule 18 deny tcp destination-port eq 1234
rule 19 deny tcp destination-port eq 7070
rule 20 deny tcp destination-port eq 139
rule 21 deny udp destination-port eq netbios-ssn
图4
图5
3总结
通过以上重新规划整改建设完成后以及所采取的安全策略后,网络的安全性得到很大的提升,得到了各方面的认可。网络运行一年以来,网络安全可靠地运行,这充分说明我们采取的安全策略效果显著,改造之前来自台OA网、广域网的网络蠕虫病毒经常侵扰着技术网的应用系统,改造之后网络病毒在台技术网内大肆传播的现象不再发生。当然为确保信息系统的使用安全,我们不仅仅只局限在网络设备做安全策略,我们还在物理安全方面做重要的建设与部署,如机房的防火、防盗、防雷、网络线路和设备的物理安全、运行环境的安全等等。在数据安全方面,我们采购两套磁盘阵列(每个6TB),实现应用系统的存储和备份。在防病毒方面,我们在OA网服务器网段上安装诺顿Symantec网络版杀毒软件,在技术网Eudemon 200防火墙上开放特定端口允许在OA网和技术网全网部署杀毒软件。最后我们还向台领导提出:安全是“三分技术、七分管理”在进行技术改良的同时,还要对我台的网络信息安全管理进行相应的优化调整,制定合理的管理制度,加强对相关规章制度执行效果的管控,突出安全管理主线,从而真正实现技术与管理的齐头并进,为我台营造一个高效、安全的网络环境。
网络安全技术规划篇2
二、通信网络与信息安全息息相关
电力企业信息安全与通信网路的安全息息相关,也是国家信息安全的重要组成部分。在电力工业信息化进程中,通信网络承担着三种角色:
1.信息通信网络公共平台提供者,对不同性质的计算机应用系统可以提供不同的网络服务质量和优先等级。
2.与业务管理有关的计算机应用系统的建设、管理和使用者,其中的计算机应用系统包括通信监控与网管系统、网络规划与企业管理系统和客户服务系统等。
3.与通信技术相关的信息资源的开发、维护和使用者。
因此,通信网络承载着电力企业生产、运行、管理、经营业务系统,内联着电力调度数据网络,对外与Internet连接,它的安全是电力企业信息安全的第一道技术防线,电力企业信息安全直接关系着电力企业的运行与管理,也直接或间接地影响着电力生产控制系统的安全。电网企业应全面开展绿色通信网络安全防护体系建设,统筹部署等级保护、风险评估和灾难备份工作;着力提升通信网络安全保障水平和应对突发事件的能力;要通过通信网络与信息安全管理能力的增强,更好地为电网企业的发展提供有力的技术支撑,为促进社会和谐与稳定做出积极的贡献。
三、新形势下的绿色电力通信网络
目前,大部分企业部门间依靠普通的网络来完成信息传输,虽然也具有一定的防护措施和技术,但还是容易被窃取信息。这是由以下三个方面原因共同决定的:
1.计算机系统及网络固有的开放性、共享性等特点;
2.通信系统大量使用商用软件,其源代码、源程序完全或部分公开化,使企业存在安全问题;
3.计算机病毒的层出不穷及其大范围的恶意传播。
这三方面原因都对当今企业和社会网络通信安全产生不可估量的威胁。由于当今通信网络功能越来越强大,我们采取何种有效措施,最大限度地化解这种潜在危险,把网络风险降到最低限度是电力企业需要面对的重大问题。
在电力企业发展的新形势下,构建绿色通信网络成为解决电力企业信息安全的重要手段。绿色通信网络构建主要包括,一方面要建立健全企业的安全机制,强化安全管理;另一方面,技术创新也是当务之急。
在技术层方面,首先是建立一个层次化的安全管控体系。为了从技术上提高通信网络的安全性,电力企业应整合现有资源,提高企业通信网络的预防水平、网络的修复能力和备份能力。具体内容包括:网络安全漏洞的自动发现与治愈、全网联动的事件监控和分析、网络安全配置的集中化和管控、安全态势的综合分析以及高效运作网络安全管理等方面。这是一个涉及体系架构设计、资源配置和局部解决方案在内的系统解决方案,需要建立相应的安全技术体系;其次是对电力企业的IP承载网进行安全的设计和优化,然后通过安全管理中心的建设来完善绿色通信网络的安全能力。
在管理层方面,针对计算机系统及网络固有的开放性、易损性等特点,我们应加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。在通信网络管理和使用中,要大力加强管理人员的安全保密意识。在管理层面上主要包括安全组织的建设和人员的保障,各种安全策略制度和流程的配套建设,以及完善安全评估、应急响应等安全保障机制。其中在应急响应方面,需要建立健全信息安全应急处理的协调机制,进一步完善各类突发事件的应急预案,健全应急指挥体系,落实应急队伍和保障条件。尤其是高度重视基础信息网络,包括电信网络和重要信息系统的应急处理工作和备份建设,充分做到了事件有预案、处置有流程、应急有措施,最大限度地化解信息安全风险。
四、绿色通信网络规划助力电力企业信息化安全
规划绿色通信网络是电力企业通信建设的基础和安全保障,具有十分重要的作用。绿色电力通信网络的规划除了要遵从电力系统的有关规定之外,还必须遵循通信专业规划的技术方法。因此,绿色通信网络应该包括传送网络层和业务网络层等,而电力企业中绿色通信网络的规划和构建大致包括以下三个步骤:
第一步:业务网络规划。业务网络规划主要是对提供不同信息服务的,包括数据网、计算机网和移动通信网等类型丰富的网络进行规划,它与具体的业务有关。在电力企业中,业务网络规划尤为重要,而如何构建绿色移动通信网络也是企业发展的重中之重。电力企业在原有业务系统的基础上,构建网络安全体系,通过宣传和培训等手段,对网络管理人员进行安全操作和管理知识的培训,提高各业务系统的安全意识,使各业务系统能够正常稳定的运行。
第二步:传送网络规划。传送网络规划是为业务网络提供支撑的涵盖交换机、服务器、数据传输的无线和移动网络等进行规划。在“十二五”规划中强调了电力企业信息系统的安全管理和网络安全传输问题,其中电力企业信息系统的网络安全更是被提上日程,如何更好的规范和规划传输网络层是我们研究的重点问题之一。按照信息系统网络数据传输过程中安全性和保密性的要求,完善监控设施做到实时监控,并确保管理人员不将保密文件传到外网,不能利用内网机器上外网进行查资料等操作,确保信息系统在数据传输过程中的安全性。
第三步:基础设施规划。基础设施规划主要是对信息系统中计算机、服务器等硬件基础设施进行规划管理,而这部分是保障信息系统正常运行的基础。在电力企业中,服务器的承载量是相当大的,在信息传输的过程中数据的提取和录入也是呈倍增长的,只有实时监控路由器的异常情况,定期更新路由器设备,完善基础设施,才能保证整个系统和网络的稳定性。
网络安全技术规划篇3
【关键词】网络攻击 入侵检测 规划识别 结构研究
网络安全对于网络用户来说至关重要,它关系到个人隐私安全、个人数据安全,而网络与人们日常生活紧密相关,因此对于网络安全研究也逐渐成为研究的重点内容。网络安全研究从传输数据加密到网络攻击防范与预防等经历的不同发展阶段。当前主要采用的网络安全技术就是入侵检测技术,也就是通过监听在网络传输中的数据包,利用相关算法或技术发现网络中可能存在的攻击行为。本文是以网络规划识别作为研究理论,将其应用到基于Snort入侵检测系统中,从而利用统计与智能方式来搜索或获得攻击行为,达到有效的防范和预防措施。
1 入侵检测与规划识别简介
1.1 入侵检测
入侵检测对网络安全来说是至关重要,检测过程和检测结果如何关系到防范和预测网络攻击效果。在当前较多的入侵检测技术中,频繁使用的入侵检测技术是基于Snort入侵检测技术及其系统。Snort检测体系结构主要是由嗅探器、数据包预处理、检索引擎和规则库等多个模块来构成。其中,嗅探器的作用是来捕获网络中传输的数据包和数据流;数据包预处理模块则是对捕获到的数据进行预处理分析,如采用统计分析方式、专家系统方式等;检索引擎作用则是利用预处理后得到的数据特征等相关信息与规则库中的数据特征进行比对根据其比对结果来评判数据是否具有攻击性。
1.2 网络规划识别简介
在1978年由Schmidt、Sridharan和Goodson提出规划识别用于推理其它智能体的规划及目标,到2003年,Yin MingHao在Hong Jun的目标图为基础上提出了利用回归图进行的规划识别。在规划发展过程中主要出现如下几种规划识别方法,即基于Kautz理论的规划识别、基于逻辑的规划识别和基于概率方法的规划识别等方法。经过40多年的发展,规划识别已经成为人工智能研究领域中重要的研究内容。
网络规划识别就是以规划识别作为理论基础,然后将其运用在网络上的一种技术。其主要内容是从网络中传输数据包或数据流中通过特征提取方式来获得特征数据信息,利用规划识别推导出智能目标或规划过程。其推导过程为首先收集来自于网络中的传输数据,然后利用规划识别原理对传输数据进行推导,最后计算出该数据攻击可能的最大概率。
2 基于规划识别的入侵检测结构研究
2.1 规划识别的贝叶斯网络模型结构分析
网络攻击往往会给用户带来极大的麻烦或损失,因此组建较好的入侵检测结构对于网络攻击预防是至关重要的环节。当遭受网络攻击时候,往往需要识别攻击者的意图,因此本文以规划识别与贝叶斯算法结合建立一个入侵过程分析与模拟建模,即通过检索数据包中的数据特征来发现攻击对象和攻击过程。也就是将攻击者最终意图作为根节点,攻击节点之间采用“与”、“或”等逻辑运算来进行节点之间关系建立,然后发现最终目标。在入侵检测系统中,攻击者会实施相关攻击过程且具有顺序性,利用贝叶斯网络就可以推理入侵者意图,即对接受数据包进行关联分析,从而发现攻击目标和攻击意图。
2.2 贝叶斯二次回归规划识别在入侵检测中的结构研究
基于Snort入侵检测系统是当前正在使用的一种检测系统,在进行攻击者进行网络入侵过程中,由Snort在检测中产生相应的数据包信息,将得到的数据信息进行数据关联分析,从而就会得到两种分析结果:一是有攻击意图;二是无攻击意图或无法判断攻击意图。而入侵过程中Snort对数据进行规划识别与采用贝叶斯算法设计的智能网络结构相似,因此可以考虑将贝叶斯理论引入到入侵检测中,然后在此基础上进行二次回归来具体判断攻击者是否发生攻击以及攻击的目标和路径。其基本结构如图1所示。
3 结束语
通过对以往入侵检测系统、网络规划识别技术分析与研究,在本文中提出了一种以原有的贝叶斯网络攻击入侵检测模型为基础,进行了二次回归的网络攻击入侵检测模型及其算法的改进,并且对此结构进行分析。
参考文献
[1]谷文祥,李丽,李丹丹.规划识别的研究及其应用[J].智能系统学报,2007.
[2]李伟生,王宝树.实现规划识别的一种贝叶斯网络[J].西安电子科技大学学报,2002.
作者简介
网络安全技术规划篇4
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)97-0230-02
1校园网安全特性分析
通常来讲,信息安全重点关注的是信息资源、通信资源以及计算机资源等被一些恶意的行为破坏,出现了信息泄露、被篡改、滥用的现象。信息网络的安全特性主要有完整性、可用性、保密性以及未授权使用资源的安全威胁,这些安全特性也是校园网的安全特性。
目前,不少学校的校园网中使用的网络没有设置防护系统,也没有内部网络和外部网络的区别,可以说安全策略和安全措施的设置丝毫没有受到学校的重视。
主要表现在网络的应用管理系统较为分散、没有设置完善的防毒策略、没有采取数据备份措施以及尚未建立集中的身份验证系统等等。
在教育信息化速度日益加快的今天,学校中的很多工作都需要通过网络来完成,例如管理、科研方面的工作,除此之外,校内的诸多业务系统都需要通过校园网来建立,如教务系统、人事系统、办公系统以及财务系统等。如果校园网网络信息的安全问题再得不到足够的重视,将会给校园网埋下严重的安全隐患。
2校园网网络信息安全风险分析
校园网具有网络连接形式复杂、设备种类数量多以及操作系统平台不一致的特点,这就给校园网的网络信息的安全带来了很多威胁,风险主要来自一些几个方面。
2.1互联网导致的风险
校园网络的构建几乎都需要用到Internet技术,并且还需要连接到互联网上。网络用户可以直接访问互联网的资源,同样任何能上互联网的用户也可以直接访问校园网的资源。
这样的网络构建方式对于提高学校的知名度、扩大学校的影响力具有十分重要的作用。然而互联网具有网络信息的开放性和共享性,这就导致了网络信息存在一定的安全隐患,学校在获得知名度的同时,也会出现一些安全问题。
互联网上的信息都不能完全信任,因为网络信息的安全性无法保证,是否会出现网络攻击更难以预料,这就需要学校在使用校园网时切实做好安全防范工作,预防和化解存在的安全风险。
2.2内部导致的风险
据相关统计显示,有将近75%的网络信息安全事件都是源于内部。可见,内部网络存在的安全风险十分严重。
因为内部人员比其他人员更熟悉内部网络的应用系统和网络结构,这就容易出现网络内部人员攻击内部网络的事件,或者内部人员与外部人员联手攻击网络,亦或是内部人员将网络信息随意泄露出去的行为,这都可能会给校园网的网络系统带来破坏性的打击。
特别是近年来校园网络的迅速发展,并且和一般性的局域网络不同,校园网使用的用户中网络高手较多,更需要切实做好校园网的安全预防工作。
2.3病毒导致的安全风险
病毒是一种非法程序,它是为了达到某种企图而秘密编写的,它的复制能力非常强。病毒能够给计算机网络带来毁灭性的破坏。
尤其是目前互联网的发展速度日新月异,使用电子邮件系统的用户变得越来越多,致使网络成为了病毒扩散的重要载体,并且能够借助计算机这一载体将病毒肆意地传播开来。由此可见,校园网的网络信息在病毒肆意蔓延的环境下存在着诸多安全隐患。
2.4管理导致的安全风险
在网络安全中,管理占据着十分重要的地位。不少学校都将学校的建设放在重要的位置,而不太重视学校的管理工作,尤其是网络安全管理。
可见,出现网络安全的一个重要原因就是学校没有制定完善的安全管理制度。
如,校园网的网络用户没有树立较强的安全意识,校园网缺乏完善的管理制度,校园网络管理员设置不合理以及用户口令设置不恰当等等,这些都给校园网带来了严重的安全隐患。
2.5系统导致的安全风险
由系统导致的安全风险主要来自于数据库系统、操作系统以及各种应用系统。大多数校园网一般使用三种系列的操作系统,它们是Linux、Unix以及Windows,使用程度最高的系列是最后一种。
不言而喻,每一种操作系统都不可能是完美的,或多或少都会存在一些未知和已知的安全问题,并且国家安全组织也对系统中存在的大量漏洞给予了披露。系统中存在的有些漏洞能够使攻击者畅通无阻地进入到管理员的网络系统中,进而破坏网络系统,还有些漏洞能够为病毒的入侵提供便利的条件等等。
总之,系统中存在的风险也严重威胁着校园网的网络信息的安全。
3保护校园网信息安全的对策
3.1重视网络安全规划
注重对校园网实施安全规划的目标是为了从系统性的角度对网络中的安全问题进行全面性的思考。网络安全规划的内容比较多,主要有病毒防御、加密技术、访问拦截、认证技术以及攻击检测技术等安全预防措施;安全服务;安全管理制度,如工作流程、网络工作人员以及维护保障制度等;安全防范策略;应用服务器、应用系统的分布情况、数据库系统设置的位置;内部网络的逻辑划分以及外部网络的逻辑划分;安全评估、数据备份与恢复措施、减灾措施以及实施计划等。
在校园网建设规划的同时,要同时做好校园网的信息规划工作,并将其列入到校园网建设规划中的重要事项当中。
3.2对网络区域进行科学合理地划分
站在安全的角度考虑,校园网对网络区域进行科学合理地划分是十分有必要的。在对网络区域进行划分时,需要充分考虑整体的安全规划以及信息安全密级,运用逻辑思维对内网和外网进行划分,划分出安全区域(内网区域)、不安全区域以及非军事区(DMZ),然后还要考虑到学校对网络的需求情况,对虚拟专用网(VLAN)进行合理地划分,如图1所示。
图1网络区域的划分
校园网的内部网络区域属于安全区域,这个区域是不允许外部用户进行访问的,因为其拥有较高的安全等级。
该区域运行的系统主要有OA系统以及各种应用系统,而这个区域应该存放的服务器主要有数据库服务器以及不同种类的内部服务器。
内部网络和外部网络用户都可以对非军事区进行访问。这个区域能够为外界提供Ftp服务、Web服务以及Email服务等多种服务。
因此,也需要为这个区域制定一些安全防护措施。校园网防火墙以外的网路接口处外部的区域被规定为了不安全区域。在认真分析了校园网用户的特征之后,总结出该结构具有的特征如下:
1)通过校园网的入侵检测系统和防火墙,校园网用户都能对互联网进行访问,使广大校园网的用户能够方便地使用网络;
2)DMZ(demilitarized zone)与外部区间之间设有防火墙,能够为校园网提供信息过滤以及访问控制等防护措施。非军事区域内提供的所有网络服务,内部网络用户和外部网络用户都能够享受,即都能够对该区域进行访问。
因此,需要在分析非军事区域的特点,为其制定出行之有效的安全防护措施。在这些安全措施制定期间,要对内部网络用户和外部网络用户做出一些规定,对开放服务不设置权限,但是对内网的各种服务需要暂时设置一些权限,不能允许内外网用户进行访问;
3)内网区域具有较高的安全级别,在对其进行设置安全防护措施时,可以同时利用入侵检测系统和防火墙,使二者进行相互配合,建立健全安全防御体系。
3.3运用行之有效的网络安全防御技术
3.3.1防火墙安全技术
防火墙这种网络设备能够对网络之间的访问起到一定的控制作用,它主要是通过拦截认证资格的用户进入内部网络、筛选不安全信息的方式,以达到保护内部网络的目的,实质上防火墙是一种位于内外网之间的安全防御系统。然而防火墙这种安全技术无法控制内部出现的没有认证授权
就进行访问的状况。所以比较适合应用于相对较为独立的内部网络,并且和外网的连接的途径受到一定的限制、网路服务种类比较集中的网络。
在对外界入侵者进行防御时,防火墙应用的技术主要有应用网关、数据包过滤以及服务等,以达到维护校园网络安全的目的。
3.3.2数据加密技术
数据加密技术可以提高网络数据的安全系数,避免出现重要数据信息被滥用、篡改以及泄露的现象,从而为网络的安全运行提供一个良好的环境。
而那些没有运用加密技术的网络数据容易在运行时受到外界的阻拦,给信息使用者带来极大的经济损失。数据加密技术主要有三大类:对称型加密技术、不可逆加密技术以及不对称型加密技术。
总之,在网络上应用这三大类加密技术可以为网络运行创造出一种安全可靠的环境。
3.3.3网络入侵检测技术
网络入侵是指通过不合法的手段企图使信息系统的完整性、机密性以及可信性受到严重破坏的任何网络活动,对网络环境的安全性造成了严重的威胁。
而入侵检测(Intrusion Detection)技术能够对网络的外部环境进行检测,而且还能对网络内部用户的未授权活动进行检测,极大程度上提高了其安全性。网络入侵技术通过利用新型的攻守结合战略来对相关数据进行检测,并及时验证其是否具有合法利用特权,并且还能搜集相关证据,借此来追究入侵者的非法行为。
IDS是入侵检测技术中常用的一种能够为管理者提供安全可靠信息的检测系统,它能够及时地检测到网络运行中出现的可疑或不安全因素,然后将其真实地告诉网络管理者,以便于采取有效的措施进行防御。
市场上比较常见的IDS产品综合采
用三个基本方法来检测网络入侵:即为追踪分析、网包分析及实时活动监控。
参考文献
[1]邓长春.浅谈网络信息安全面临的问题和对策[J].电脑与电信,2007(3).
网络安全技术规划篇5
中图分类号:TP311.13 文献标识码:A 文章编号:1007-9599(2013)01-0146-02
1 引言
我国金融电子化经过“六五”时期的准备和“七五”时期的基础建设,从无到有,获得了长足的发展。经过20多年的努力,我国已建成金融数据通信网络的基本框架并已开始运行各类金融业务。中国人民银行建设的全国金融卫星通信网是金融系统信息的主干线,目前已建成1个中央卫星地面站和几百个远程地面卫星小站。中国人民银行已在175个城市建立了同城资金清算系统,并陆续建成并运行了十几个以中心城市为依托的区域网。我国各专业银行和商业银行均建立了从总行到基层行的基于分组交换网、电传电报、电话专线等多种通信方式的系统内全国远程通信网络系统。电子化营业网点发展迅速,金融电子化已从大城市扩展到中小城市、县和乡镇。现代化支付系统、新型电子化服务等均取得了较大的进展。
然而,限于技术条件,我国金融电子化还有很长的路要走。具体到银行计算机网络领域,当前还面临四个方面的问题:一是网络架构问题,网络架构难以适应业务融合发展的趋势;二是网络安全问题,缺乏总体的安全策略、关键区域的安全防护措施不够、多层面的协同安全防控不够;三是网络管理问题,网络管理手段不够先进、管理体系尚不健全;四是网络服务问题,对服务融合、应用承载变化等支持不够。
新一代银行计算机网络系统规划原则,应从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性、扩展性和经济性等因素,要符合“更安全、更高效、更集约、更方便”的绿色智能发展趋势。
2 新一代银行计算机网络架构规划
2.1 网络架构总体规划
新一代银行计算机网络应建设以总行为核心的树型网络结构;将目前分离的各网进行融合;各类服务集中上收到总行和一级分行;提升一级骨干网的链路带宽及综合利用率;提升全行网络的安全性、可靠性。在网络路由规划方面,应充分考虑各地的情况,因地制宜地采用OSPF路由协议、BGP路由协议或静态路由协议。
2.2 数据中心局域网规划
新一代银行数据中心局域网应遵循水平分区、垂直分层的原则进行建设。水平分区是将承载相似业务、具有相似安全级别的网络设备归集为一个网络分区,便于实施安全策略和最优数据交互。分区是根据安全性、可扩展性原则进行的,包括主机区、开放平台区、开发测试区、运行管理区、Internet区、Extranet区、用户接入区、城域/广域区等,各分区均支持系统和业务的平滑、灵活扩展。由于每个分区内部仍然有不同业务,可继续通过VLAN和IP地址再细分,进而实现不同安全细微差别控制和传输保障。垂直分层是将不同网络功能界定清楚,独立成为一个层面,包括核心层、分布层、接入层。其中核心层与分布层紧耦合,高效可靠;分布层与接入层松耦合,可以很好的支撑虚拟化资源池技术。
2.3 广域网规划
新一代银行广域网规划,核心网可概括为高速转发、业务分离、降低耦合、控制风险;一级骨干网可概括为就近接入、提高效率、缩短距离、节省投资;二、三级广域网可概括为层次化、扁平化、按需配置、带宽动态扩展多业务承载。
3 新一代银行计算机网络安全规划
3.1 信息安全体系架构
信息安全体系架构,从技术维度上讲,包括安全技术体系,具体有应用安全、系统安全、网络安全、物理安全。从管理维度上讲,包括安全组织与制度体系,具体有安全流程相关制度、安全策略相关制度、人员安全、安全培训、安全组织与职责等。从运行维度上讲,包括安全运行体系, 具体有安全运维服务机制、长期安全监督检查机制、安全运行学习改进机制等。
具体到新一代银行计算机网络安全体系,依据国家信息安全等级保护的标准、银监会和人民银行的监管要求以及行业特点,应从以下方面进行规划:安全域划分、网络访问控制、防火墙、访问控制列表、防拒绝服务攻击系统、虚拟专用网、网络设备自身安全、身份鉴别、特权用户权限分离、边界完整检查/入网检测、网络入侵检测系统、网络入侵防御系统、异常流量监测和网络审计系统等。
3.2 网络安全策略
新一代银行计算机网络安全策略,概括讲主要包括四个方面:一是网络安全域的划分,根据信息资产的安全属性及安全防护需求的不同,划分成不同的安全层次(即安全域),安全域内可以根据安全等级再划分安全子域;二是网络安全技术部署,根据要保护的信息资产重要性,在各个安全域中部署多方面的网络安全防护措施,实现多方面协同防护、纵深防护;三是网络安全管理,对整个安全防护体系的所有安全措施实施有效的监控管理;四是多层面协同工作,与其他技术条线协同工作,共建网络安全体系,实现对信息资产的全方位的安全防护。
4 新一代银行计算机网络管理规划
新一代银行计算机网络管理体系,应具备网络管理平台(包括网络性能管理、业务影响管理、网络事件管理等);网络服务平台(包括服务支持流程、服务提供流程等);网络操作自动化平台(包括网络操作管控、网络配置管控、网络授权管控等);网络运行质量分析平台(包括服务水平、网络可用性、网络连续性、网络容量规划等)。
5 新一代银行计算机网络服务规划
新一代银行计算机网络服务体系,应具备IP地址管理(包括IP地址管理规划等);应用交付(包括内容分发平台和应用等);网络应用规划(包括视频、语音、监控系统;无线网接入;Internet接入等)。其中,互联网与内部网有互联的应用系统(如网上银行),应用须在DMZ区落地;高安全等级接入用户(如境外机构接入),须增加VPN加密隧道等安全措施;外网邮件系统与内网严格物理隔离;严格执行网络准入策略,做好联网终端与信息点绑定等管理工作,保证联网终端的安全性。
6 结论
篇幅所限,本文仅阐述新一代银行计算机网络系统的宏观规划,具体的实施细节就不赘述了。在“科技创新、精细管理、持续改进、科学发展”的基础上,新一代银行计算机网络系统规划将为我国金融电子化的长期可持续发展打下坚实的基础,为我国银行业信息化建设作出新的贡献。
参考文献:
[1]黄杜英等.银行计算机系统[M].清华大学出版社.2011(2).
[2]帅青红.银行信息系统管理概论[M].中国金融出版社.2010(7).
网络安全技术规划篇6
随着广电信息网络的数据业务的不断发展,广电网络会提供电子邮件、视频下载等服务,而这些服务会引入大量的系统病毒、木马病毒等不同性质的病毒,轻则会使广电系统中的一台服务器丧失工作能力,重则会使整个广电系统中心瘫痪。再者就是,对电子信息业的使用和管理我国尚未形成完整而规范的法律法规制度,这使得信息在可靠性、完整性和真实性等方面缺乏有利的保障。网络信息安全不能得到及时有效的防控,那么广电的安全也就无从谈起。
1.2网络基础设备的安全威胁
从计算机自身系统来看,其自身的安全和保护功能较为脆弱,来自网络的攻击随时可能产生,计算机病毒的破坏性、传染性和潜伏性等,这些问题让广电信息安全有了较大的困难。网络拥塞问题,地域网、入户网等如何建立拓扑关系到整个网络的安全、顺利运行。网络设备的性能问题,双向化上下行频率分配问题,接入控制问题,网络协议接入标准问题……这一系列的问题都会影响广播电视系统信息的安全问题。这些作为人为可以控制和管理的问题是可以避免的,但是如果不加强管理和整治终究会影响到广电系统的信息安全。所以说相关部门需要做好本职工作,防患于未然。
1.3技术管理人员的技术落后
在现在的广电系统中大多数的管理人员都是兼职人员,在技术管理上明显存在不足,特别是对一些新型的网络病毒更是不知所措。这就使得一些网络病毒乘机而入,对广电系统环境进行破坏,导致系统瘫痪,无法正常运转。最终影响广电系统信息的传输与接收。所以,对于广播电视行业而言,培养一批专业的管理技术人员,加强对这些专业技术管理人员的培训是很有必要的。
2加强广电系统中信息安全技术体系措施与建议
2.1大力推动技术创新,加强网络信息技术开发
不断加强网络技术的研究与开发,形成高效的技术防范体系,进一步提升对危害网络信息安全的不良信息的发现与管理控制能力。采用加密技术、水印技术等对用户的身份进行标识,防止不良信息的上传。同时,对于关键性的网络设施和网络信息,可以对行业内部的技术人员开展授权和身份验证工作,确保工作的有序无误的开展。
2.2制定网络信息安全保障体系与措施,健全网络信息安全法律制度保障体系
应该说,法律的保护是广电系统信息安全的有利防控线。所以在新的广播电视行业形势下,需要制定相应的法律法规。我们要充分发挥法律法规的制度保障作用,严格规范不法的行为,使得广电系统的信息安全得到法律的有效保障,维护广电系统的网络信息安全,使得整个广电系统有章可循。
2.3加强对技术人员的管理
对于技术人员的管理,我们首先要做的是要设定专职的专业技术管理人员,这样才能在技术上得到保障。其次,要不断加强对信息技术管理人员的信息安全教育,尤其是保密的教育。只有在技术管理人员具有高度的可靠性的情况下,广电信息的管理才能得到安全的保障。再者就是要确保档案信息的安全性,这主要是还得从制度上进行管理。在对库房管理、档案借阅等方面要做到有制度、有规范;其次,在操作上要做到信息管理工作的严格、细化,管理人员应有严格的操作规范,做到对广播电视系统信息的安全负责。这样可以在一定程度上解决一些不利于信息安全的因素。
2.4建立信息安全技术体系
信息技术安全体系的建立涉及到了行业领域的各个环节,因此必须建立完整的安全防护体系保证信息系统的安全、稳定运行。建立信息安全技术体系的前提是要合理划分安全域,然后是针对安全域的边界安全及内部进行重点安全防护,最终形成完整的信息安全技术体系,维护广电系统的信息安全。安全域的合理划分。安全域的划分是对系统实施分级安全保护的前提条件,是对安全域进行等级划分的安全保护。通过对安全域的合理划分,可以明确网络边界,便于实现对物理区域和网络区域之间的有效隔离和访问控制。信息安全技术体系利用各种安全技术作为安全管理和运行落实的重要手段,最终支撑信息安全体系的建设。所以,在对安全域进行合理划分的基础,要实现安全域防护技术的有效设计,使信息安全技术体系得到完善。
网络安全技术规划篇7
随着计算机科学技术、网络技术与通信技术的发展,网络应用已经深入到社会生活的各个领域,各行各业开始大量需要网络工程技术人才,为了满足这种社会需求,网络工程专业应运而生。该专业以培养应用型人才为主要目标,要求所培养的人才全面系统地掌握计算机科学、计算机网络与通信技术等领域的基本理论知识,深入理解网络体系结构和通信系统原理,掌握各类网络的规划、设计、组网、集成、开发和管理等实用技术,能够从事网络编程、网络的规划和组网设计、网络工程设计和建设、网络管理及维护、网络安全防护以及网络性能分析等工作。虽然许多学校早在2001年就在计算机科学技术本科专业内设置网络技术方向,但仅仅通过删减或调整几门课程,试图将计算机科学技术专业的网络方向简单地过渡为网络工程专业,显然是不能形成网络工程专业的知识体系。网络工程作为一门横跨学科的新兴计划外专业,还没有形成相对标准的课程体系,是我们需要研究的重要课题。
1网络工程专业的培养目标
我校2002年在计算机科学技术专业中设置网络技术方向,2005年正式获批组建网络工程专业,至今教学运行已接近7年,其间根据技术发展、用人需求对专业培养目标、课程体系做过几次调整和改进,已趋于稳定。根据这几年的毕业设计和学生毕业反馈情况,充分肯定了目前的课程体系和培养目标。
高等教育的目的是培养高等技术人才,网络工程专业主要是为了培养网络工程师,目前网络工程专业的培养方向主要有网络工程管理与规划设计、网络维护与管理以及网络应用程序开发等方向[1-5]。根据普通工科高校办学层次和培养对象,我们立足于“宽口径,厚基础,高素质,强能力,突出创新意识”的教学理念,确立该专业的培养目标为:培养系统掌握计算机技术、通信技术及网络技术的基本理论、基本知识,掌握计算机网络系统分析和设计的基本方法,具备计算机应用、网络编程与应用开发、网络规划设计部署、网络管理等基本能力,具有较强创新意识的计算机网络工程技术人才。
2网络工程专业的课程体系设置
高等教育的专业培养目标是设置课程体系的基础,课程体系是专业培养目标的具体体现,因此课程设置必须以专业培养目标为依据,同时以社会需求为导向,体现自己的培养特色[2]。针对我校网络工程专业的培养目标,在制定教学计划时,以培养学生的计算机网络规划设计能力、网络管理能力以及网络应用开发能力为主线,以计算机技术及网络通信技术理论为基础,全方位的构建与网络工程内容相关的计算机网络系统结构、网络规划、设计、管理、Web应用技术、网页设计与网站开发、网络信息安全等方面的课程体系。目的在于加强基础理论、拓宽专业口径、突出素质教育,提高学生的实际动手能力。
2.1调整课程结构,优化课程体系
我院对专业基础课程及专业课程进行知识点的归类整合,在全校工科学生培养的框架内,重新组织课程,增强课程教学的一致性和连贯性,减少不必要的重复。课程体系如图1所示,在课程结构调整方面,以课群为基础组织和建设课程内容,这样既便于同类相关课程之间的知识衔接,又便于在课群内组织任课教师开展课程建设等教学研究活动。同时,专业课群也体现了培养目标所确定的学生应具备的主要技能,便于在课群的基础上通过修订课程内容,调整学生的知识结构,完善培养目标的具体内涵。
2.2专业基础课程的设置
由于网络技术是由计算机技术和通信技术等发展而来,网络工程专业与计算机专业有着非常紧密的联系,因此在课程设置方面,除了人文和社会科学基础课程、理工科的基础课程以外,首先要开设计算机类和通信类的基础课程。
2.3专业课程的设置
教学计划以计算机网络规划、网络管理及应用开发能力培养为特色,加强包括计算机网络总体规划设计、网络管理、网站开发设计及维护等教学环节,涉及网络协议与路由技术、网络与信息安全、网络系统应用软件的设计开发等内容。专业课程主要分为以下三个课群:1)网络设计与规划课群;2)网络管理课群;3)网络应用技术课群。
2.4前沿与特色选修课程
随着网络的普及,网络安全问题成为当前面临的紧迫问题。我校在网络工程专业课程体系设置中,强化网络安全特色方向,通过该专业特色方向的学习,使学生具有网络安全应用的配置和开发能力。同时,我院将前沿技术课程设置为专业选修课。
3实践课环节建设
3.1实验课程设置
网络技术是一门实践性很强的技术,要求技术人员具有很强的实践能力和应用能力,因此根据专业的工程特点和培养目标,结合我校实际,在制定培养计划时,注重培养学生的动手能力、应用能力,以便为社会培养高质量的网络工程技术及网络应用人才。通过各种实践教学环节,使得学生在学习期间较好地熟悉并掌握实际的网络系统的规划、设计、管理、维护等工作过程,培养学生进行系统需求调研和需求分析、网络环境安装调试、网络设备参数设置、综合布线等实际操作能力。
网络工程专业培养方案中的实践教学课时占总教学课时的18%,实践环节主要分为课内实验、实验课程、综合实践三大模块,具体安排如表1所示。
主要专业基础课和专业课都包含一定比例的课程内实验,这些涉及基本技能和初步综合技能的实验教学内容,属于基础性实验,其目的是为了加深对课程理论知识的理解及应用。如程序设计类课程、通信原理、网络路由原理、TCP/IP协议、网页设计与网站开发、综合布线系统、局域网络技术与组网工程等课程,均包含理论教学和实践教学两部分。
为了让学生系统掌握专业技能,还独立开设了一些实验课,主要涉及一些提高性、综合性实验内容,目的是为了培养学生的设计和应用能力,如数据结构课程设计、网络工程综合实验等。在实验课程中,可以采用一些小型或中型案例来实施,如在网络规划与设计课程中,结合计算机网络技术、网络安全技术、Web应用技术、路由与交换技术等内容,以实际的计算机网络系统规划设计方案为模板,让学生调研和分析网络系统的需求,完成该网络的规划设计,从而启发学生掌握网络系统的规划与设计方法,培养学生实际应用能力。
除教学计划中规定的实践环节外,采用开放实验、项目开发、学科竞赛、职业认证等多种形式,在内容上以成熟应用网络技术为主。鼓励学生参加网络工程师认证资格考试,采取的具体措施是开放网络实验室,并开设工程实验课程,由持有思科、华为、神州数码网络工程师认证证书的教师讲授,为学生提供课外实践动手机会,提高本专业学生对基于Unix、Linux、Windows环境下的局域网、校园网、园区网、广域网构建、规划方面的动手能力,增强学生网络应用系统开发的能力;同时,配合校团委、社团成立活动小组,组织大学生课外科技活动,开展个人主页或网站设计竞赛等,发挥学生个性,使学生在各个不同层次得到全方位训练,达到提高学生综合实践能力的目的。
3.2实验室建设
对于实验室建设,我们遵循两个步骤:确定实验内容和实验方式、确定实验环境和实验设备[2-3]。根据课程体系确定网络工程专业学生必须掌握的实验内容包括:网络组建/规划、网络设备配置/设置、网络操作系统使用/配置、网络管理、网络协议分析。对于实验方式,应采用分组进行,这样既便于实验课管理,也具有较好的课堂气氛,并且学生可以独自动手在真实设备上操作、配置,教师可以控制和检查学生配置、实验结果是否正确。但由于设备的各种接口易损坏,所以需要限制教师和学生此类操作。根据实验内容和实验方式,确定实验环境,网络工程训练中心的拓扑示意图如图2所示。
主要实验设备包括:入侵检测系统、网络服务器、(无线)网络路由及交换设备、网络管理平台、网络协议仿真分析平台、网络语音模块实验设备,可以同时满足8组共64名学生进行广域网、局域网、无线网络、路由/交换网络设备配置、网络安全、网络管理、网络协议仿真分析等各类型实验。同时,随着需要进行网络实验的专业数量以及学生数量的增加,实验室建设中也需要高效、可行的管理手段。在实验室建设方面,我院将重点放在建社实验环境、提供实验内容上,设立网络工程独立实验课[3],在实验课中设置协议仿真类实验、交换机类实验、路由器类实验及网络综合实验。
整个实验环境与设备都是模拟目前成熟的网络及网络应用环境设计,不但能满足目前网络技术实验室需要,而且可以后期进行平滑升级,通过添加部分网络设备和模块来组建更为复杂的网络技术实验室,为学生提供更多的实验内容,实现更复杂的网络实验。
4结语
作为一所地方性本科院校,在网络工程专业培养模式制定过程中,我们以为企、事业单位培养从事网络工程技术、网络管理及网络应用与开发工作的工程技术人才为目标,以专业培养目标为基础,以社会需求为导向,体现专业特色,加强实践教学环节,注重专业技能、动手能力、应用能力和创新能力的培养。专业培养方案需要在实践中检验,,要根据教学实践中的经验教训和社会需求的变化不断地完善。
参考文献:
[1] 吴怡,蔡坚勇,洪亲. 论网络工程专业实践环节教学体系及改革方案[J]. 电气电子教学学报,2007,29(3):87-89.
[2] 焦炳连,浦江. 网络工程专业实验室的建设[J]. 实验室研究与探索,2006,25(3):315-318.
[3] 王亚文,容晓峰,范会敏,等. 论网络工程独立实验课程的建设[J]. 实验科学与技术,2009,7(4):122-125.
[4] 张远,杨F. 网络工程专业本科教学改革的探索与实践[J]. 黑龙江高教研究,2006(4):155-157.
[5] 姜腊林,易建勋,陈倩诒,等. 网络工程专业培养方案的研究与实践[J]. 高等教育研究学报,2005,28(3):67-69.
Construction of the Curriculum System of Network Engineering
RONG Xiao-feng , TANG Jun-yong, ZHAO Yu-feng, XIAO Feng
网络安全技术规划篇8
检测机构网络安全架构方法及原则
据调研,检测机构往往热衷于引进各类成熟的应用系统来满足日益增长的应用需求,网络安全系统建设也依赖于成熟的商业模型。这样将导致3种局面:一是,系统实际功能与机构的应用需求不匹配,需改进和完善;二是,机构的应用需求不断变化,导致系统功能无法匹配而不断淘汰更新;三是,采用成熟的商业模型,容易遭黑客攻击,系统生命期短,需不断升级换代,造成人财物资源的浪费。因此,我们认为比较可行的方案:一是,从机构的实际应用出发,根据对应用的需求分析和远景展望,统一规划架构;二是,根据实际应用的阶段性需求,以统一规划的架构模型为基础,结合现阶段稳定实用的技术,制订阶段性构建目标和方案,分阶段实施;三是,紧随技术发展潮流,适度调整,合理选择产品,以节约建设投资,达到良好建设效果。可概括为“统一规划,分步实施”。这样既有长远而整体的规划来保证网络安全构架的清晰有序,又可因为分阶段实施,在具体建设过程中采用新的技术手段和产品,使网络系统建设真正实现“适时而建,建则不费”。根据网络安全技术标准的要求,我们应从操作系统层面、用户层面、应用层面、网络层面、数据链路的安全层面考虑,结合局域网环境,边界、用户环境和网络等方面安全要求,规划构架。经调研发现,检测机构经多年发展,其网络建设工作基本是对原有系统的改造。在此,我们取长补短,以构建高性能、高安全、高稳定性和高数据传输质量符合相关法规标准的网络架构为目标,提出以下建网原则:誗统一规划,分段实施;誗高速的网络链接;誗信息结构多样化;誗良好的可扩充性;誗安全质量可靠;誗操作方面,易于管理;誗性价比高;誗符合全国信息安全委员会提出的技术标准。
构建符合检测机构需求的网络安全架构
基于以上可知,检测机构网络应用具有性能、稳定性、安全性3方面的要求,在兼得性能和稳定性的同时,在安全性方面应满足保密性、完整性、可用性、可控性和可审查性等要求。我们提出检测机构构建基于“四类网络、三个中心”的网络安全架构。1.检测机构应构建“四类网络”①办公局域网:根据我国公安部第82号令《互联网安全保护技术措施规定》,安全级别达到1~3级的网络,主要应用于检测机构内部办公需要,内含机构相关核心业务;②机构门户网(网站):主要作为检测机构互联网门户,是对外形象展示窗口;③政务网:根据公安部第82号令,是安全级别达3级及以上网络,需要高安全级别,要求达到网络物理分隔,内含机密内容;④客户服务网:提供客户在机构场地范围内上网服务的网络,在为客户提供上网服务便利的同时,亦满足公安部、信息产业部等信息安全相关法律法规要求。2.检测机构应构建“三个中心”①核心计算中心(见图1):主要承担业务核心计算工作,与核心数据中心共同承担业务计算数据存放,互为实时镜像、达到负载均衡,互为远程业务灾备。②核心数据中心:存放实时镜像数据,核心业务集群服务器等,可作为核心计算中心的无中断业务系统,实现自动切换功能,使得核心计算中心在遇到IT基础设施损坏无法正常服务时,以最快速度恢复关键业务系统的正常运行。③备份中心:存放核心业务及应用系统数据,实现定时自动存储,通过专用存储数据网络SAN实现高速数据备份恢复,作为远程灾备中心用于防范各类自然灾难及人为灾难对信息系统造成的影响,确保信息业务系统快速恢复,将数据损失和经济损失降到最低。3.基于“四类网络、三个中心”的检测机构网络架构检测机构网络安全总体架构如上图2所示,按照网络基础安全技术标准,网站平台、客户网、政务网单独搭建,与局域网物理隔离;局域网按照功能划分为不同的区域,如业务系统服务器区、数据备份区域、用户接入区域等,各区域之间按照制定的安全策略进行网络边界的控制;局域网DMZ区域作为需要为互联网用户提供服务及数据访问的区域,需要在互联网与网络边界处进行网络安全控制,以确保数据传输质量符合GB/T20270-2006《网络基础安全技术要求》的要求。实际应用时,应根据各类网络的特点对其进行分类安全管理:①局域网需要授权管理、VPN、入侵检测、防火墙、防毒墙、网络监控、上网管理、日志审核和设备加固;②网站平台需执行以上除上网管理以外的全部措施;③客户网按国家信息安全相关法律规定的标准,至少需要授权管理及日志审核、防火墙等安全技术;④政务网需遵循政务网管理部门相关安全规定,必须物理隔离。基于以上设想及网络安全架构,上海机动车检测中心已进行了规划,并实施了第一阶段的改造工作。已建立本文所述的“四类网络”,目前运行情况良好,通过第一阶段的改造有效地提高原有网络的安全性,为内部员工和外部客户提供了高效、安全的信息服务。建成的多个网站与平台(中心网站、机动车出口认证检测网、全国四轮全地形车标准化技术委员会网、出口认证平台、标准资源平台),扩大了其行业知名度和影响力,取得了良好的社会经济效益。
网络安全技术规划篇9
计算机网络的连接方式主要是由网络设备和通信电缆组成的,伴随着新型设备的开发和广泛利用,在使用过程中,我们发现计算机网络中由于结构不同,会造成性能的不同差异,网络规划问题逐渐引起我们的注意。好的规划对于网络的发展来说至关重要,无论是对原有的计算机系统进行升级,还是新建网络系统,都要充分考虑网络规划问题。要做好网络规划问题,我们要了解和掌握网络规划的设计原则,明确设计思路,采取切实可行的措施做好网络规划。
1 网络规划设计的原则
1.1 目标原则
用户的需求是我们工作的目标,用户满意不满意是衡量我们工作质量好坏的尺度。网络规划的设计要充分考虑用户的近期目标和长远目标,明确不同阶段的建设目标,根据实际情况确定协议集、计算模式、体系结构和网络上最多站点数目等,对整个网络系统的数据量、数据流量和流向有个清晰的估计。
1.2 先进性、安全可靠性、开放性和实用性相结合的原则
⑴网络规划的先进性。网络系统的先进性是网络规划设计人员首先要考虑的原则,采用先进的组网技术,能够使所建网络在长时间内保持先进性,在以后相当长的一段时间内可以不被淘汰,既节省了资金又能适应网络规划中长期的发展。
⑵网络规划的安全可靠性。安全和可靠是组网非常重要的因素。为了保证组网的安全性,网络规划者应当从系统的安全性、拓扑结构、网络节点和通信线路等多方面考虑,保证整个系统的安全性和保密性,在多层次上以多种方式实现安全控制。
⑶开放互联性。要保证计算机有良好的通信互联能力,就必须采用当前最新的符合国际标准通信的通信协议和设备,支持开放的技术、系统组件和用户接口。
⑷经济实用性。组网的重要原则之一就是要考虑系统的性价比,考虑它的经济实用性。我们应当充分利用所投入的资金,根据用户的需求,在满足系统性能和可预见期内不失先进性的前提下,选择性价比最高、最经济实用性的网络规划方式。
1.3 功能最完善、整体性能最佳原则
网络系统在规划时应当对主干网络和本地网的连接、技术的匹配、数据传输和网络操作系统的选择仔细论证,保证网络系统功能最完善。
2 计算机网络规划的方法和实现方案
2.1 需求分析
⑴环境需求。计算机网络规划需要考虑环境需求的因素,它既包括内部环境,也包括外部环境。
⑵设备需求。对于设备需求,我们应当从业务需求出发,考虑与原有系统的兼容问题,以及设备电源、个人计算机、主机和服务器、防火墙等网络设备。
⑶功能需求。功能需求要求我们考虑用户主要的网络应用和网络所传输的数据量,同时,分析网络总数据量和网络应用高峰的分布,关注网络应用的安全性和可靠性。
2.2 可行性分析
可行性分析主要是根据用户目标、网络系统的目标和网络系统的集成要求,判断在现有的资金和技术环境下是否可行,能否达到系统目标的要求。
2.3 网络总体设计
网络设计的任务是制定网络系统总体实施方案,主要是根据需求分析中提出的技术规范和种种性能要求以及设备选型和经费预算。总体规划设计的内容包括传输方式和传输速率;网络系统体系结构和拓扑结构;网络系统的基本结构和类型;功能和服务项目。
2.4 网络分层拓扑结构
实现网络规划的重要一步就是做好网络分层拓扑结构,包括对核心层、分布层和接入层的选择和设计。对于核心层,考虑的因素包括地理距离、信息流量和数据负载等,主要做法通过千兆以太网来实现;分布层主要是根据网络信息流的特点,在整个设计中确定分布层是否需要,采用级联还是堆叠;接入层主要考虑布线系统费用和实现上的限制等因素,对于零散的远程用户接入,可以采用市话网络进行远程拨号访问。
2.5 网络设备的选型和比较
构成计算机网络的设备比较复杂,包括网卡、网桥、网关、路由器、集线器、服务器、工作站、网络打印机、网络操作系统、管理系统以及应用软件、存储器等。在网络规划设计时,我们要充分考虑到这些问题,选择一种性价比最高、功能最全、最经济实用的规划设计方案。
综上所述,我们应当重视网络规划设计,在网络规划设计中,我们要遵循“强调总体规划、重视具体规划,利用分层规划,合理布线”的原则,设计时要综合考虑各方面的因素,在充分比较和反复论证的基础上,根据用户的要求选择一种性价比最高、功能最全、最经济实用的最佳方案。同时,了解和掌握网络规划的设计原则,明确设计思路,采取切实可行的措施做好网络规划,以最大努力建立一个功能完善、安全可靠、性能稳定的网络系统。
网络安全技术规划篇10
一、研究背景
网络工程专业是在计算机科学与技术、通信工程等专业交叉、融合的基础上发展起来的新专业。从1998年网络工程专业被教育部列入本科专业目录以来,至今全国已有近300所高校设置了该专业,为社会培养了大批网络专业技术人才。
随着我国信息化建设从横向规模发展转变为纵向深度应用发展,社会对各种类型的网络技术人才在数量和质量上的需求也正在发生变化。主要表现为:
1.不断扩展的互联网应用需求,不断涌现的新信息技术对网络体系结构的适用性、网络协议性能与服务质量、网络应用的可靠性与安全性等提出了新的挑战,科研院所需要高层次的关于网络理论与技术的科学研究后备人才。
2.网络设备制造企业和网络应用开发企业迅速崛起,网络相关软硬件产品更新换代以及产品系列化、企业规模化等,需要大量的网络软硬件系统研发人才。
3.不断涌现的新企事业单位网络系统规划设计、建设与施工需求,大量原有的企事业单位网络系统扩容、升级与改造需求,需要大量的网络系统规划设计、信息系统集成、网络软硬件产品安装与调试等组网工程技术人才。
4.政府、军队及企事业单位对网络与信息系统应用的不断深入,网络系统已成为各单位的一种基础性设施,急需大量的网络与信息系统管理、维护及安全保障人才。
5.各行各业的网络应用如雨后春笋般地发展,产生了一系列新岗位、新职业需求。
为了适应上述应用需求,一方面,作为一个跨学科、实用性强、服务面广的专业,网络工程专业的内涵、人才培养目标需要不断丰富和发展。首先,在专业内涵方面,需要涵盖局域网、城域网、广域网、互联网、无线网络与移动通信、物联网、社交网络以及空间网络等多个领域的理论基础、技术原理和工程方法等内容;其次,在人才培养目标方面,需要培养包括网络软硬件系统设计与开发、网络工程规划设计与施工、网络系统管理与维护等多层次的专业人才。另一方面,从培养规模来看,网络工程无疑已是一个较大规模的专业,而且未来有更大的发展空间。人们不禁会问,网络工程专业具有哪些专业方向?每个专业方向需要掌握哪些专业知识?具有哪些专业能力?将来可就业于哪些工作岗位?为此,我们必须思考网络工程专业应该具有什么样的知识体系?应该包括哪些核心知识单元?各专业方向需要开设哪些核心专业课程和专业扩展课程?应该进行哪些实践环节的训练?网络工程专业与计算机科学与技术、信息安全、通信工程、物联网工程等相关专业差异与特色何在?本科、专科与培训机构之间的培养定位又各是什么?
本文将围绕网络工程专业人才培养目标、专业方向、专业能力和专业课程体系等问题进行探讨。
二、人才培养目标
必须根据网络技术的发展和社会需求,面向网络工程的整个生命周期,适时调整网络工程专业人才培养目标,使之覆盖网络设备的设计与开发、网络协议的设计与开发、网络工程规划设计与实施、网络应用系统开发以及网络系统的管理与安全等方面。
因此,网络工程专业的人才培养目标定义为:培养德、智、体全面发展,具有深厚的数学和自然科学基础知识,扎实的专业基础知识,较强的网络工程专业能力,能从事网络设备和网络协议研发、网络应用系统开发、组网工程的规划设计与实施、网络系统的管理与维护、网络安全保障等技术工作,具有一定的工程管理能力和良好的职业道德与团队协作精神的中、高级网络技术人才。
三、专业方向设置
为了满足调整后的网络工程专业人才培养目标需求,可在网络工程专业设立“网络设计、组网工程、网络管理与网络安全”3个专业方向。覆盖网络工程生命周期中的网络产品设计与开发、组网工程建设、网络系统管理与维护3个阶段,如图1所示。
图1 网络工程专业方向
各专业方向的内涵如下:
1.网络设计。包括网络理论与网络体系结构研究、网络硬件系统设计与研发、网络协议分析与新协议研发、基于网络的通用服务系统设计与研发、基于行业的网络应用系统设计与研发、网络应用新技术与新型网络计算模式的研究等内容。
该方向侧重于科学研究型人才的培养。毕业生适合到网络技术相关的科研院所、网络设备生产厂家、网络软件开发公司与网络服务公司、高等院校等单位从事网络相关理论与技术研究,网络设备、网络协议、网络应用系统等的分析、设计、开发以及教育、教学和人才培养等工作。
2.组网工程。包括网络系统需求分析、网络系统结构设计与规划、组网方案设计与论证、网络软硬件产品安装与配置、局域网络系统、广域网系统和互联网系统集成、多层构架的网络应用系统集成、跨平台多数据源的数据集成、网络系统测试与验收等内容。
组网工程方向侧重于工程型人才的培养。毕业生适合到系统集成公司、网络服务公司、电信运营公司等从事网络系统规划、设计与集成及IT领域技术支持与市场拓展等工作。
3.网络管理与网络安全。包括网络管理与网络安全协议及相关技术研究、网络管理与网络安全需求分析、方案设计与系统部署、网络故障分析与维护、网络性能测试、评估与优化、网络安全策略制订与实施等内容。
网络安全技术规划篇11
一、充分认识加快电子政务网络建设的重要性和紧迫性
电子政务网络是电子政务稳步推进和可持续发展的基石,是电子公文传输、电视电话会议、党政协同OA等电子政务重点业务系统普及应用的支撑平台,也是各级政府履行职能,打造效能政府、阳光政府、透明政府的有效手段。我州电子政务网络按照统一规划、分级负责的原则进行建设,经过几年的持续快速发展,电子政务内、外网络建设取得了显著成效。电子政务内网基本实现了“纵向到底、横向到边”的建设目标,电子政务外网已完成州电子政务技术中心至州级各主要职能部门的横向城域网建设。根据国家电子政务发展规划,电子政务内、外网络将成为自上而下、纵横融合的两大基础网络平台,为避免重复投资、重复建设,充分利用好已建电子政务公共设施,国家发改委今后原则上不再批准建设新的部门专用业务网络。各地区要充分认识加快电子政务网络建设的重要性和紧迫性,认清形势、把握机遇,紧紧抓住全州电子政务网络建设整体推进、给予设备和技术支持的有利契机,加强组织领导,着力推进本地电子政务基础网络建设。
二、全州电子政务网络建设的基本原则及标准要求
全州电子政务网络建设要在州政府电子政务技术中心的规划指导下,按照统一标准和规范有序推进。各地区在规划建设本地区电子政务网络时,要按照全州电子政务网络建设标准(每栋入网行政办公楼的每间办公室要设置2个以上完全物理隔离的内、外网信息节点),对本地区电子政务内、外网络进行同步规划、同步建设。
1、纵向骨干电路建设。根据全州电子政务外网建设总体规划,州至各地区纵向骨干电路由电信、移动两家运营商共同承建,形成高效、安全的双回路网。在月25日前完成电路建设、调通测试电路。
2、地区横向网络建设。各地区横向城域网络建设及本地区互联网出口电路租赁等工作,由各地区政府与当地电信、移动、联通等运营商自主洽谈确定,可根据实际洽谈情况,综合当地运营商合作意向、承建能力、线路品质、技术力量、租赁费用及本地区电子政务长远发展等因素合理选择一家或多家运营商的互联网资源作为本地区电子政务外网的互联网出口电路(出口电路带宽可根据本地区入网单位数量、上网速率要求等实际需要科学确定),按照“以租代建”(通过本地互联网出口电路租费来带动横向网络建设)的原则,由选定的运营商按照全州电子政务网络建设标准于年底前完成本地区横向城域网络建设。
3、现场指导建设。州政府电子政务技术中心近期将会同省信息中心、电信公司、移动公司等相关单位,成立电子政务外网建设工作组赴各地区对纵向骨干测试电路、地区首批13家横向电路进行现场指导建设,请各地区安排得力技术人员进行全程配合、学习。今后,地区横向电子政务网络由各地区政府按统一标准和规范自行规划建设,州政府电子政务技术中给予必要的远程协助和电话指导,原则上不再专门组织安排人员进行现场指导。
三、加强电子政务网络安全体系建设的统一规划和管理
各地区要根据全州电子政务网络安全等级保护的有关规定,配合州政府电子政务技术中心同步规划、建设本地区电子政务网络安全防御体系,合理划分安全域,采取相应的信息安全等级保护措施,实现州、县级网络中心与各级入网单位的分级、分域保护,实现不同网络安全域之间的可信接入,保障各自业务系统的信息安全。按照统一规划、统一管理的原则合理分配本地区IP地址资源,对接入电子政务网络的所有计算机进行MAC地址、IP地址、交换机端口的有效绑定,以减少局域网内IP地址冲突,防止ARP攻击,提高网络的安全性。加强网络安全保障制度建设,落实信息安全保障责任,明确政务网络安全主管领导和工作部门责任人,对入网计算机进行登记备案,定期检测网络运行状况,及时排解安全隐患,确保全州电子政务网络安全稳定运行。
四、落实项目配套资金确保电子政务网络建设顺利进行
电子政务建设所需财政性资金采取分级负担的方式予以解决,各地区要统筹财力,加大对电子政务网络建设和运行维护的资金投入力度,根据项目建设要求,抓紧落实地区配套资金,确保必要的项目建设经费,推动地区电子政务健康持续发展。
1、州级专项经费。州至各地区电子政务外网纵向骨干电路租赁费用由州级财政统一安排解决;各地区电子政务外网建设所需核心路由器、核心交换、网管交换、网管计算机、网络机柜、首批13家部门接入路由器等设备由州政府统一配送;各地区首批13家接入单位横向网络电路、办公局域网综合布线由州政府按照“以租代建”原则(通过州至各地区纵向电路专用租费带动项目建设),协调电信或移动公司按照统一标准和要求建设;州政府电子政务技术中心对各地区网络规划设计、建设实施给予必要的技术支持和业务指导,对重视程度高、配套资金落实好、规划建设进度快的地区在后期横向网络建设时给予一定数量的部门接入路由器、交换机等设备支持。
网络安全技术规划篇12
通信网络的最根本保障就是安防工程,它能够为通信网络提供环境方面的保护。通信网络呈现出的环境特点为:为了适应网络结构简化的新变化,居所容量得以扩大;由于业务不断增多,各种交换、传输设备也随之增加,且多被安置在一个空间内,使环境趋于复杂;相关的通信设备呈现模块化的趋向,智能程度大大提高,但其体积却未随着容量的扩大而增加,反而呈现不断减小的状态。通信网络的环境改变对规划设计也提出更高要求,但相关设计的系统性和完整性仍有待加强,其设计高度需要进一步提升。
1.2网络安全
网络安全的实现需要加强对网络开放性的控制,使之可管理性得以提升。要把控网络安全首先要合理利用防火墙技术,在内外网络之间建立分隔,使访问受到必要的控制,增加网络信息的安全性。根据实际网络状况来进行防火墙的选择十分必要,但仅依赖防火墙难以解决所有的网络安全问题,因而入侵检测、加密技术也相继得到发展。入侵检测可以对网络中可能存在风险的地方进行监控,从截获的数据流中识别出破坏性数据,发现违规入侵网络的行为,并能对未授权访问做出报警反应。加密技术通常作用于网络节点,通过对传送信息进行加密来提升网络传输的安全度。
1.3链路安全
设备本身运用的技术将影响到链路安全,因而链路安全的考量应该从以下几点入手:使网络本身的性能特点得以保留;提升系统的保密性与安全度;控制附加操作量,降低维护难度;维持拓扑结构的原型,使系统拓展得以实现;合法使用密码产品等等。链路安全的加密方法多为对称算法,使用加密机来进行点对点的加密设置。在通信伊始进行统一加密,在信息送达后即可解密,这一过程无需路由交换。
1.4信息安全
网络所具备的开放性使得信息安全失去保障,被篡改、窃取、越权使用等情况屡见不鲜,要确保信息安全,应关注信息的传输、存储、用户身份鉴别等关键点。首先,创建公钥密码这种手段在身份识别、自动管理方面有特殊优势,通过第三方的担保提升信息获取的安全度。其次,审计信息内容也是一种有效的安全管理方法,在备份网络内部信息后开展必要的审计,防止信息外泄,同时也能阻隔不良信息的入侵。再次,通过创建数据库能使信息管理更加系统、完整,防止信息丢失。
2基于安全的通信网络规划设计建议
2.1对信息进行加密设计
对传送信息进行加密处理是保证通信网络安全的基本手段,对通信网络应进行必要的加密设计。信息加密不仅可以确保业务信息的安全,同时也能够提升通信网络的安全度。信息加密通常有三种方式可供选择:端到端加密、链路加密以及节点加密。其中,端到端加密针对的是加密对象是数据净荷,能够在很大程度上完成对设计安全协议的保护,但其缺陷在于不能实现报头加密,因而报头极易遭受攻击,使通信网络的安全度下降。链路加密的加密对象是中继群路信号,它位于节点之间,在受到加密保护的同时也可连带通信网络的信息和协议进入加密保护区。同时通信网路的流量也会得到保护,使非法流量分析难以实现。
2.2建成安全网管系统
要确保通信网络的安全必须要建成一个严密的网管系统,因为窃密者的重点攻击对象多为网管协议,而网管协议又是通信网络的重要组成部分,因而必须要用疏而不漏的网管系统来隔绝非法攻击行为。窃密者除了破坏网管协议外,还会对网管系统进行病毒攻击或非法访问,假如网管系统在这些攻击行为中受到重创就会使通信网络的效率大大降低,数据将被肆意窃取,严重时网络就会陷入瘫痪状态。为了抵御攻击,在进行通信网络的规划设计时应该注意以下几点:设定通信网络的安全目标;提升网络建设的技术水平;确保网管数据信息完整;对传递的数据信息进行加密;加强对节点平台的访问控制。
2.3对通信网络内部协议进行规划
通信网络的内部协议最易受到攻击,是规划设计工作的重点。路由协议、链路层协议及信令协议都在内部协议的范畴之内,它们控制着网络的基本运行,一旦遭到破坏,其影响将是致命性的。攻击者通常是利用冒充合法用户、重置协议信息等手段来对网络协议进行攻击,会造成网络服务一度中断,网络信任度降低,甚至网络拒绝提供服务等恶劣影响。要从根本上确保通信网络内部协议的安全性,在规划设计时就应重点关注实体认证和协议鉴别两个方面。运用好哈希函数、加密算法等工具,对每一次的信令传输都进行加密设置。保证了内部协议的安全,才能使通信网络的安全运行得以实现。
2.4重塑通信网节点内系统
路由器、交换机等计算机系统都属于通信网节点,其重要性不容小觑。当前针对通信网节点开展的攻击行为愈加高深,应对难度也随之加大。在通信网络的规划设计过程中要以设备的配置情况为依据进行安全目标设定,然后用建立防火墙、设置访问控制、创建数据库、进行实体认证等方式来来进行安全防控。在具体策略的制定中要考虑到安全需求、安全技术、安全制度等因素,在统筹考虑之下出具行之有效的通信网节点控制方案。通信网络的技术进步使远程管理成为可能,远程管理手段虽然便捷,但其安全隐患也不容忽视,在规划设计时要合理借鉴,规避风险。
2.5研发通信网络入侵检测技术
