開篇:寫作不僅是一種記錄����,更是一種創造����,它讓我們能夠捕捉那些稍縱即逝的靈感�����,將它們永久地定格在紙上�����。下面是小編精心整理的12篇辦公網絡的網絡安全問題,希望這些內容能成為您創作過程中的良師益友���,陪伴您不斷探索和進步。
第1篇
關鍵詞:辦公計算機;安全問題;具體;分析;有效措施
1辦公計算機網絡潛在的問題
1.1軟件以及系統更新不及時
企業內部辦公計算機是一個相對獨立的網絡系統���,相比外部網絡,差異之處在于不能及時修復自身存在的漏洞����。所以�,相關網絡管理工作人員一定要定期對企業集團內部網絡系統進行升級優化���,最大限度地修補漏洞以及系統的升級等相關工作��。除此之外�����,內部網絡中一些特殊程序以及軟件的應用是十分必要的,使用人員在選用程序時沒有足夠的重視�,就給辦公計算機網絡完全帶來了很多潛在的威脅���。例如,有一部分軟件只看重實際運行的速度以及應用的便捷之處,完全不在乎安全方面的問題,對數據庫相關方面沒及時進行有效的保護,讓黑客十分容易就能竊取用戶數據��,使辦公計算機在網絡安全方面產生了極大的危險�。
1.2物理方面的損害
在企業集團的發展進程中,總是會發生對辦公環境以及場地進行施工的情況。在施工過程中��,可能要搬移設備�、改變管線以及道路等。一旦工作技術不夠規范��、施工計劃不夠嚴密��,就會發生設備損壞��、管線連接錯誤等惡劣情況。因此�����,在進行施工之前�,一定要做好施工的規劃設計,要熟知設備以及線路的所有特點,盡可能規避施工隊計算機設備形成損傷����。
1.3系統之間的互相連接
在企業集團管理信息化以及生產自動化建設過程中�,一定會出現把集團內部管理層和網絡控制層結合的工作需求��,方便企業集團對產出信息��、生產設備以及原料消耗等方面進行科學合理的規劃安排。但是,企業集團一旦把控制層網絡和企業管理層直接進行連接,就會伴隨著很大的風險��,會出現管理層具有的一些病毒入侵到控制層中去�,對企業集團形成了極大的威脅。所以,把控制層網絡與集團管理層直接相連的方式是行不通的��,應該應用其他相對科學合理的方式�,把收集到的所有信息傳達給管理層。
2形成辦公計算機網絡安全隱患的根本原因
2.1網絡的單薄性
互聯網是對全社會開放的,具有國際性�、共享性以及開放性的特點����,形成了網絡本身的不穩定性以及不安全性����。第一��,自由性?���,F階段計算機用戶應用網絡時完全不受任何技術上的限制,可以實現自由的獲取以及所有信息。第二���,開放性。網絡的開放性,給網絡帶來了多種技術以及多個方面的攻擊��,可能是計算機自身硬件的襲擊�,也可能是物理傳到線路的沖擊,還有可能是通信協議的侵犯等。第三,國際性�����。網絡的國際性���,表達了網絡上的危險因素并不單單來自本區域的用戶��,還要面對國際黑客的侵襲���。
2.2操作系統的缺陷和不足之處
不存在完美無缺的系統���,所有的操作系統都會具有一些漏洞以及缺陷�。所以黑客以及病毒才有了侵襲的通道�����。因為辦公網絡大體上是自成一派的�����,因此操作系統不能得到定期的升級優化����,給予企業集團辦公帶來了潛在的安全隱患。
2.3安全意識不成熟
現階段企業集團對辦公計算機網絡安全方面的關注少之又少�,這也是內部辦公網絡出現問題的根本原因�。即使當今大部分企業對辦公網絡進行改進完善�,但是因為對網絡安全認知不足以及缺乏大量的相關專業知識,仍然具有很多的缺陷和漏洞�。首先�����,建立辦公網絡的時間不夠長久,不具有十分專業的相關技術人員進行管理規劃�����,對廣大職員不能進行全面徹底的培訓��,最終形成用戶在安全意識以及技術上都存在巨大的缺陷����。其次�,大部分企業集團不能進行改進完善管理,存在很多管理制度方面的漏洞���。最后,企業集團高層領導干部對辦公網絡安全問題沒有給予足夠的重視���,間接使辦公計算機網絡安全隱患不能及時解決。
2.4維護力度不足
企業集團對內部辦公網絡建設是非常有意義的投資���,企業看重日常運營以及生產,而忽視辦公網絡的維護以及運行���。企業集團在辦公網絡維護和檢修方面投入的經費嚴重不足���,不具有專業能力強的工作人員�,出現辦公網維護力度不足的現象。
3計算機網絡安全防范的有效措施
3.1世界前沿技術的應用
計算機網絡安全保護的有效措施就是防火墻技術�����,其是外部網絡和內部辦公網絡之間的屏障以及門戶��。通過應用世界先進的防火墻技術����,可以實現隔離外部網絡與內部網絡、對外部網絡用戶進行制約���,限制外部網絡用戶的惡意侵襲以及侵入等效果。
3.2建立健全管理制度
企業集團依照有關標準����,創建科學合理的法規制度����,用來嚴格保證企業集團內部辦公網絡的安全運行�,以及讓網絡管理相關工作人員能夠遵循規章制度。創建管理制度時�,一定要充分考慮計算機操作規范���、計算機系統使用標準以及機房管理制度等�。
第2篇
關鍵詞:計算機辦公�����;網絡安全��;局域網絡
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2010) 16-0000-01
Security of the Computer Office Network
Fang Ling
(Tianchang Human Resources and Social Security Bureau,Tianchang239300,China)
Abstract:This article from the local office computer network security and endpoint security management of computer office in both directions of the computer office network security issues.
Keywords:Computer office;Network security;Local area network
計算機辦公���,亦稱之為辦公自動化(Office Automation����,簡稱為OA)是一種將現代化辦公和計算機網絡功能相結合的新型辦公方式���。它通過計算機對文檔進行綜合管理��,節省了管理程序,極大的提高了工作效率,是信息技術革命中的一個主要應用領域。
一����、計算機辦公局域網安全
(一)辦公局域網絡
辦公局域網是一個信息點較為密集的網絡系統���,各個相聯接的信息點給位于整個系統中的各個辦公部門提供一個快速�、方便的信息交流平臺����。在此基礎之上���,單個企業的局域網絡可以和廣域網相連����,建立一個內部與外部相通的門戶,為信息的流通建立了基礎���,各個部門可以在局域網內直接與互聯網上的用戶進行信息交流等。由于開放式的網絡環境,注定了網絡具有不安全性,因此在局域網內實行一套可行的安全解決方案勢在必行���。
(二)網絡系統安全風險分析及其解決方法
1.平臺的安全風險及解決方法����。一般局域網都會通過公開服務器區的方式為辦公過程提供信息的平臺,與此同時,這些服務器本身還要為外界服務而提供數據通道�。而黑客正是利用這些通道上的節點試圖侵入用戶系統���,非法獲取用戶資料,給用戶帶來嚴重損失��。為了防止由于外部侵入給系統帶來的損失���,網絡管理人員對網絡安全事故作出快速反應就顯得非常必要���。在進網絡安全管理時�����,可以通過將公開服務器以及內部網絡與外部網絡之間進行有效的隔離����;其次����,對于外網的服務請求要加以鑒別和過濾,只允許通過正常通道的正常數據包到達相應的主機����,對于可疑的服務請求一律予以拒絕�����。
2.系統的安全風險及解決方法。網絡操作系統�����、網絡硬件平臺的可靠性會直接影響到系統的安全性����。對于一般的用戶而言�����,采用的任何操作系統都不可能有絕對的安全保障�。因為無論任何一種商用操作系統的開發商都留有后門�����。但是對于一般的用戶而言���,這不會構成太大的影響�,用戶可以通過對既有的操作平臺進行適當的安全配置�����、對操作及訪問權限進行嚴格的審查��,一樣可以達到用戶使用的安全需求����。在構建網絡的過程中�����,選擇可靠的操作系統和硬件平臺是前提,同時還應該加強使用過程中用戶登錄的認證,以確保其合法性��。
3.網絡應用的安全風險及解決方法���。網絡應用的安全性一般涉及到網內信息���、數據的安全性����,包括用戶的機密信息的泄露、未經授權的訪問、惡意修改信息以及對信息完整性進行蓄意破壞等�����。對于局域網而言��,由于信息的傳遞主要集中在局域網內�,其信息的跨度較小���,信息的保密性和完整性都可以得到有效的保證����。不過,對于那些特別重要的信息,例如企業的經營戰略及核心技術等�,需要對內部保密的���,可以采用在應用級進行加密��,一定級別的用戶只能打開對應密級的文件資料,從而有效的控制密級文件的傳遞。
二����、計算機辦公終端安全管理模式
(一)實施計算機辦公終端安全管理模式的必要性
從寬泛的角度來定義�����,計算機辦公終端是指在辦公環境下的所有類型的計算機�,它包括計算機的硬件、操作系統以及常用的辦公軟件等���,是網內用戶辦公及處理日常事務的重要工具和手段。實施計算機辦公終端安全管理�����,是指專業技術人員為使得計算機辦公終端能給網內用戶提供其正常的功能和服務而進行的一系列技術維護活動�����,主要包括相應的安裝���、配置��、升級以及故障處理等。
現在����,辦公自動化在企業中的應用已相當普遍�,計算機辦公終端與每一個員工的日常工作緊密聯系��。尤其是對于目前一些大型企業�,終端的使用人員較多����,數量龐大�����,而管理機制不健全���,眾多企業的辦公網絡以及信息安全問題突出����。通常的有:其一,整個系統沒有一個統一的補丁管理����,系統不能及時更新甚至沒有更新��,存在大量系統漏洞;其二��,缺乏統一的防病毒管理����,一個終端中毒則導致整個網絡癱瘓;其三��,沒有一個統一的接入管理��,沒有經過授權的計算機辦公終端隨意接入局域網內等����。所有的這些都給計算機辦公網絡及信息安全帶來了極大的安全隱患����。
(二)可實施的安全管理模式
目前廣泛采用的是終端安全管理平臺,通過構建一個終端管理平臺�,對包括補丁升級管理�、防病毒管理�、終端安全策略管理以及終端接入等方面進行統一控制,達到對局域網終端的安全管理目的����。
1.補丁管理�。補丁系統的主要功能在于實時的處理網絡安全方面的“常見病”以及“多發病”�����。我們可以通過采用由微軟SMS軟件搭建一套用來管理辦公終端及服務器補丁的分發、安裝的專門系統����。該套系統由補丁中心服務器����、補丁下載服務器�、補丁分發服務器以及客戶端Agent等組成,可以為網絡內所有的客戶終端提供補丁掃描以及補丁安裝功能。管理系統通過與AD域管理功能相結合���,及時、準確、快速的為辦公終端實施安全補丁服務�。保證網絡內的計算機終端能處于最優的工作狀態��,網絡內的資源能得到良好的保護。
2.防病毒管理。防病毒系統的主要功能在于通過對系統的病毒庫進行實時的更新����,使之具有統一的防毒定義更新以及應急響應能力����。企業的局域網一般可以采用賽門鐵克SEP11.0等防病毒軟件����,使得網絡的防病毒系統具有對主動型攻擊、網絡威脅以及非法網絡訪問等進行防御和控制的功能。
3.終端接入安全管理����。隨著企業的發展�,企業與外部的業務交流將越來越多��,企業的業務將會進一步擴展�����,對外部接入系統的外部終端進行有效的監控和防護將顯得尤為重要。我們可以通過采用先進的網絡接入控制技術,諸如思科的NAC�����,對接如的外部辦公終端進行安全掃描�,凡檢測到含有安全隱患的終端一律將之隔離。
實施計算機辦公網絡的安全防護是現代企業保護自身信息安全,實現管理信息化的基礎。辦公網絡的安全管理是一個循序漸進的過程��,需要企業持之以恒���,這樣才能為企業的順利發展提供保障�����。
參考文獻:
第3篇
關鍵詞:政府機關����;辦公自動化系統�����;網絡安全問題
中圖分類號:TP317 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一�����、政府機關辦公自動化系統中常見的網絡安全問題
目前,我國各級政府機關單位內部的辦公自動化網絡,多是基于TCP/IP協議,并采用Internet的通信標準以及Web信息流通模式。由于辦公自動化系統模式具有開放性�����,且使用比較方便���,因此病毒入侵�����、系統入侵等安全問題也隨之而來。如果安全問題無法解決��,那么便極有可能會導致信息泄露�、設備損壞、數據丟失以及系統癱瘓等嚴重的后果���。在政府機關辦公自動化系統中常見的網絡安全問題主要為:
(一)黑客入侵
黑客就好比是計算機數據信息的竊賊。未經過允許私自闖入到政府辦公系統中�����,然后對網頁�����、程序���、磁盤���、服務器等進行肆意修改和盜竊����。多數情況下�����,黑客入侵都是具有一定的目的性和針對性的。因此��,黑客入侵是政府自動化辦公網絡面臨的最大安全問題����。我國多數辦公自動化網絡都采用廣播技術基礎的以太網技術。在以太網作為網絡環境的自動化辦公系統中,任何兩個節點之間的數據包����,不僅會被這兩個節點的網卡進行接收����,同時也會被以太網中任何一個節點的網卡進行截獲。另外�����,政府機關辦公自動化系統有時會為了方便�,在網絡中設置和因特網連接出口,這為黑客入侵提供了方便����。通過這樣的連接出口�����,黑客只需要通過因特網便能夠入侵到辦公自動化網絡中的任意節點中,并對此節點接收到的信息進行竊聽�����。
(二)病毒感染
隨著計算機技術的不斷發展和進步���,計算機病毒也不斷涌現出來�,且病毒的形式、破壞性也有所加強�。網絡病毒不同于普通病毒,能夠在網絡中流通,且破壞性更強大、生命力更加頑強���。網絡病毒不僅能夠通過網絡擴散的方式進行傳播,同時也對一些殺毒程序具有一定的免疫力和抵抗力。因此���,如果政府辦公自動化網絡中一旦感染了病毒,那么病毒便能夠通過內部網絡,在辦公網絡中進行傳播�,進入到其他辦公程序中����,甚至還會導致內網所有電腦全部感染病毒��,帶來嚴重的損失���。
(三)辦公自動化系統漏洞
所有操作系統都必須定期的打補丁�、修漏洞��,沒有百分之百無缺陷的操作系統���。對于政府機關的辦公自動化系統來講更是如此�。當政府機關的辦公自動化系統出現漏洞時����,往往便會成為黑客們進行攻擊的首選目標。許多黑客攻擊網絡內部的原因都是因為系統漏洞。并且很多軟件公司的設計人員和研發人員,有時會為了工作需要而在本軟件中留一個“后門”,這個“后門”在一般情況下是不為人知的�����,但是也有特殊情況�,例如個別編程人員處于私人利益的趨勢,將“后門”泄露給他人等。一旦“后門”暴漏�����,那么政府的辦公自動化系統便毫無安全性可言�。
二����、政府辦公自動化系統的網絡安全策略
通過上文分析可知,政府辦公自動化系統中的網絡安全問題主要來源于黑客入侵�����、病毒感染與系統自身漏洞���。為了能夠提高政府辦公自動化系統網絡的安全性�����,必須要從這三種安全問題的源頭入手�,對其進行防范與解決。
(一)網絡安全預警策略
要在政府機關辦公自動化系統網絡中建立起安全預警系統�����。安全預警系統可以包括入侵預警和病毒預警兩個組成部分���。在入侵預警系統中��,能夠將網絡中數據傳輸授權進行規范�,并對沒有經過授權的信息�����、數據傳輸進行報警����,并能夠在報警之后提供風險管理報告����,在風險管理報告中��,會呈現出風險源和直接相應�����、入侵IP、目的端口與攻擊特征等�����。病毒預警系統能夠對所有進出網絡的數據�����、信息進行全方位�、實時掃描�����,一旦發現病毒�����,便會立刻生成報警信息,通知網絡管理員����,并能夠對病毒進行IP定位和端口追蹤�����,同時也會生成掃描日志和掃描報告�����,對病毒所有的活動進行最綜合記錄��。
(二)數據安全保護策略
數據安全保護策略可以分為:
1.針對黑客入侵進行的安全保護。對于政府辦公自動化系統中的數據庫來講,數據信息的完整性�、邏輯關聯性和真實性是十分重要的�����。在政府機關辦公自動化系統的數據庫中,主要包括純信息數據與功能文件數據兩種��。針對這種兩種數據的保護策略�����,應當本著以下原則進行:(1)對政府機關辦公系統中的物理設備進行安全防護����,包括服務器、有線和無線通信線路等�;(2)將不同的數據要在盡可能多的服務器中進行儲存和管理�����,通過身份認證、記錄訪問日志等方式來合理控制訪問�����;(3)對重要的數據和信息�����、資料等要進行加密和驗證。
2.針對病毒破壞進行的安全保護。對于病毒和災難性的破壞因素進行數據保護���,可以通過兩種措施來進行:(1)在網絡核心設備中設置物理保護措施,例如電源冗余模塊、交換端口冗余備份等;(2)利用磁盤鏡像和磁盤陣列來存儲���、管理數據;(3)利用其它的、多樣化的物理媒體來對重要的數據進行備份���,例如對實時數據進行備份、定期對數據進行整理和備份等,能夠有效的在數據丟失之后盡快恢復��。
(三)防范黑客入侵策略
在政府辦公自動化系統中防范黑客入侵����,可以采用以下策略:
第4篇
1 云計算概述
隨著互聯網技術的發展,云計算逐漸成為新一代的IT模式。云計算是一種計算資源�,通過Internet以服務的方式提供動態可伸縮的虛擬化資源���,它是效用計算����、并行計算�����、分布式計算��、網格計算、網絡存儲、負載均衡、虛擬化等傳統計算機和網絡相融合發展的產物�����。云計算在互聯網建設中具有突出的優勢�,它能夠實現超大規模的數據支持和良好的用戶體驗,并且用戶操作更加便捷化。此外����,云計算還體現出通用性、數據共享����、按需服務��、廉價低能的優點,從目前云計算的發展模式來看�,云計算主要包含4種模式�,即公有云��、私有云�����、混合云、行業云��。
在高校校園網絡建設中�����,云計算作為一種新型的計算方式�,其涉及到以下幾個方面的核心技術:(1)數據存儲技術����,具有高輸入與輸出速率、高數據安全性和超大規模發展趨勢���,當前多數是互聯網公司采用HDFS的數據存儲技術����;(2)數據管理技術�,滿足用戶個性化需求,提供高效優質服務����;(3)Web技術,動態開發技術逐漸完善����,使Web逐漸桌面應用化�;(4)系統虛擬化技術����,節省成本開支及能源浪費,比如VMware等虛擬技術�;(5)安全技術�����,高度集中的信息資源、大用戶數量等要求更高的安全性能����;(6)移動設備����,移動互聯網的快速發展與普及�����,使得用戶上網不局限于傳統的臺式終端�����,移動智能終端以方便快捷的優點逐漸發展成為主流。
2 高校校園網數據中心設計需求分析
互聯網的快速發展與普及�,使高校對校園網的需求越來越大���,對校園網建設的要求也越來越高����。無論是高校教學管理�����、教師教學需求,還是學生學習需求,對校園網絡應用內容的使用和需求與日俱增�,比如:教務平臺��、教學管理系統、郵件系統、視頻點播系統�、電子圖書館��、視頻會議、數據業務通訊、可視圖文等����。高校師生對校園網絡數據信息需求越來越大���,傳統的校園網數據中心需要進行優化設計���。在云計算的考慮基礎上���,校園網數據中心適用于私有云模式進行搭建���。
結合高校校園網絡建設的基本情況���,數據中心設計應包含私有業務系統和公有業務系統兩個層面��,其中公有業務系統是面向校外的,類似于一種高校教育聯盟,允許一定教學范圍內的訪問。私有業務系統則是面向校園內部的,即面向教師和學生��,用于教學的教學網絡可實現師生互相訪問,而用于辦公的辦公網絡的部分業務之間則不能相互訪問����。
從網絡設計需求層面來看,高校校園網絡數據中心是為教學管理和教學活動設計的,需要保證教學任務的有序進行,不中斷���;還需實現高校辦公的諸多功能需求,比如:辦公網流量控制、學生網流量控制�����、教學平臺與教務系統��、郵件系統與視頻會議等�;在高校校園網絡構成中�,教學網、辦公網與校園網絡監控網絡應分別設計,而且教學網要與辦公網�、校園網絡監控網絡完全隔離��,保障數據中心的數據安全。
3 校園網應用平臺和資源平臺搭建
3.1 數字化校園信息標準與規范
在高校校園網應用平臺和資源平臺搭建中,需要建立統一的、標準的信息格式,以實現便捷的數據存儲和使用。(1)信息標準,結合高校自身特點,建立一套適合自己的信息標準�,且保證標準的權威性�����、科學性和可實用性,建立全局數據庫����;(2)代碼編碼標準����,數據編碼突出特點���,編碼格式必須統一��,能夠適用于整個高校校園網的不同業務系統�����,編碼結構必須具有擴展性��,且同一類型的數據編碼必須唯一�;(3)技術標準�,結合高校網絡平臺搭建的實際需求規定網絡使用規范、網絡安全等標準��;(4)管理規范�����,包括校園網絡管理中的技術規范���、管理標準�、工作流程�、職責權限等規章制度。
3.2 軟件平臺設計
為保證高校校園網絡平臺的24 h不間斷運行�����,以及保障數據中心的數據安全�,在軟件平臺設計中統一信息門戶、統一身份認證平臺����、網絡教學資源平臺等關鍵應用搭建在Linux或Unix平臺上���,采用數據庫Oracle?M行數據存取����,而其他的非關鍵應用則可在Windows平臺運行�����。
(1)統一身份認證采用認證接口層、認證通道層����、數據層三層結構設計�����,用戶通過唯一的用戶賬號和密碼可登陸校園網�。統一身份認證平臺中的身份認證模塊���、權限管理模塊和接口模塊最為重要����。用戶身份認證模塊可提供注冊、登陸�����、認證�、管理等功能,權限管理模塊用于控制���、管理和分配用戶相應權限,不同用戶擁有不同的權限���。統一身份管理包括應用管理、機構和用戶組管理�����、用戶管理����、權限管理����,統一身份認證則包括校園一卡通、網絡基礎服務、教務管理系統����、網絡教學平臺����、數據中心管理等���。接口模塊則實現與各業務系統主機�����、應用系統實現端口的對接��。用戶在使用高校校園網絡時,通過身份認證登錄一個系統之后,不需要重新登錄則可直接轉向另一個業務系統。在統一身份認證中�����,還需進行用戶數據模型設計����,比如:學生、教職工、合作院校部分教工等對象����。
(2)信息門戶平臺建設�,其目的在于使高校原有的各分散的應用服務系統�����、業務功能模塊等進行集成整合,以信息門戶的模式實現學生�、教職工�����、系統管理人員、高校領導等���,從一個統一的信息服務入口即可進入校園網,實現各自功能需求���。
4 面向云計算的校園網數據中心安全問題
4.1 云計算及校園網數據中心安全問題
從目前我國互聯網發展市場來看��,尚未有完善的法律法規來保障云計算的發展,一旦發生數據損失�����,沒有明確的責任認定方法����。對于私有云而言,通常是由各運行主體來負責自身安全,有自己標準���,與未來行業標準并不一定完全兼容。針對高校校園網的云計算而言,其安全問題主要包括以下幾個方面:(1)安全性,校園網數據中心的大量數據在存取與傳輸中存在安全問題;(2)可靠性��,即云計算服務提供商必須有強大的數據糾錯���、排錯�、容錯能力,以及數據丟失后的恢復能力;(3)信任性,這是云計算服務提供商必須保證的要素之一�;(4)隱私性����,必須保證用戶的信息安全和隱私保護��。
針對高校校園網數據中心而言,安全問題包括:一是虛擬數據安全����,需定時更新系統補丁����,并通過自帶組建進行數據備份�;二是容災系統,其中數據備份是核心����,系統在運行中一旦硬件或軟件環境出錯�,即可實現磁盤備份����。
第5篇
《無線互聯科技雜志》2014年第四期
1密碼技術在網絡通信協議中的應用
網絡通信系統中可以使用密碼技術對傳輸的信息進行加密,并且設置必要的身份鑒別��,同時也可以運用授權和控制訪問存取的方式保障通信安全�。網絡通信中的密碼技術主要是對數據進行加密,在信息的傳輸�����、存儲方面應用較多��。從網絡通信數據加密的方式來看�����,常見的有節點加密、鏈路加密等��。這些加密方法在應用過程中各有特點����,在傳輸密級程度較高的信息過程中�,應該綜合運用多種加密方式。在實際運用過程中應該結合通信安全的需求,考慮加密技術是否會增加網絡運行過程中的負荷等��。由于在不同的情況下每一個通信實體具有的網絡結構存在很大差異����,因此實際應用過程中應該根據不同的網絡結構設置安全通信協議。目前常用的安全通信協議有密鑰協商、身份認證和加密等�����。
在網絡通信安全防護階段可以綜合運用信息加密��、身份驗證和鑒別等多種密碼保護技術�����,以此保障網絡通信安全�����。管理人員可以運用密碼技術限制非授權用戶進入系統,可綜合運用身份識別�、口令機制等達到目的��。如果入侵者進入系統的方式比較特殊,可以運用訪問控制和驗證等方式達到保密信息的目的�。如果入侵者能夠通過特殊的方式獲取保密信號���,管理者應該根據實際情況對信息進行不同程度的加密���。
企業級別網絡可以分為商務服務網�、辦公網和內部信息網三部分�,每一個子網對信息的安全需求不同,應該結合實際使用不同的密碼技術���,在降低投入成本的同時滿足整體安全需求�����。商務服務網可以使用控制細粒度訪問的方式���,對用戶和服務器等進行身份驗證����。企業內部信息網不僅需要防止非法入侵以及外部用戶的非法訪問�,也需要對內部用戶進行管理,適當控制內部用戶的對外訪問。辦公網是企業網絡的核心,禁止信息從網絡向外部流動���,并且在用戶和服務器之間設置安全通道,在安全通道中設置身份認證等,避免外部用戶進入辦公網絡中�����。
2基于密碼技術的網絡安全通信協議對策
在深入分析企業級網絡通信協議的安全需求后���,我們可以充分結合密碼技術以及現有的設備和技術��,在網絡系統中保障安全保密技術和保密模式的一致性�,將密碼���、秘鑰等集中起來進行統一管理����,密碼的處理使用專用的硬件,以此保障企業級網絡系統的安全�����。常用的網絡通信安全協議對策有:⑴將VPN設備接入內網的路由器節點中�����,構建一個VPN的專用安全通道,對VPN通道中的信息進行認證和加密���,以IPSEC作為參考。虛擬專用網絡(VPN)是信息網絡中的一項新技術�,在企業網絡中設置獨立的VPN設備����,可以在不提高運營成本的前提下保障各種信息數據的交換安全���,運用這種方式也可以避免在WAN中投入過多的成本���,并且能夠充分利用各種信息資源���。VPN的專用安全通道可以對各種數據進行封裝傳輸����,并且各種信息均經過密鑰處理���,可以在公共網絡上安全地傳輸和通信�����。⑵在網絡的重要服務器配置或者用戶終端設置密碼機,將端端加密和節點加密等密碼技術應用于特殊系統中��,在系統標準應用方面提供加密或者身份認證等服務��。在通信網絡中建立密碼邏輯管理中心�����,對用戶密碼機����、專用密鑰等進行分配與管理,以此更好地管理各種網絡安全設備或者密鑰等�����。⑶將安全授權�、設備控制應用于企業網絡各子網的重要節點上,實現接入口的身份認證和用戶授權����,制定并合理配置各種細粒度安全策略��,讓加密和鑒別等為網絡通信細粒度訪問控制把關。在內外信息網絡中設置網絡防火墻���,有效隔離企業網絡中的業務子網絡,對網絡中的出入路由器進行控制�,較粗粒度地進行進出數據控制���,確保數據傳輸和通信過程中的保密性�����,在不同層次的安全訪問控制過程中使用較粗粒度控制。
3結語
在計算機信息網絡應用范圍不斷擴展的同時����,網絡通信安全問題也變得更為嚴峻�����。因此���,在網絡中綜合利用密碼技術以及各種安全通信技術����,能夠避免網絡通信信息受到侵害,保障信息數據的傳輸安全,這對于促進信息化的發展具有十分重要的意義。
作者:陳景超單位:中國科學技術大學軟件學院
第6篇
網絡管理和維護是信息網絡中心的重點工作,保障校園網絡的安全穩定運行是網絡管理的主要目標����。為了改善我校網路出口帶寬日漸擁塞的狀況��,在與徐州電信多次協商后,月6日,我校公網出口由100兆擴容為1000兆�����,成為江蘇省內首家實現公網出口千兆的高校����。出口帶寬的增加使我校的網絡狀況得到極大改善。
隨著我校網絡規模的日漸擴大,我校原先申請的16個C的IP地址資源已經接近耗盡,信息網絡中心在較早以前就開始了新地址的申請工作���,本學期,我校成功獲批64個C類的地址,極大緩解了我校地址資源緊缺的狀況�。信息網絡中心在新地址到位后立即著手地址分配調整工作���,到學期末此項工作已經基本完成��。
近半年來����,校園網安全問題日益突出��,以蠕蟲病毒和垃圾郵件為代表的網絡安全事件時有發生。信息網絡中心積極利用防火墻、殺毒系統等軟硬件設備��,制定合理的策略����,加強網絡安全管理。同時信息網絡中心積極給校園網用戶以及時的建議和指導,使我校網絡安全狀況得到很大改善����。
根據我校的辦公布局調整規劃����,信息網絡中心將于年年底搬遷到泉山校區新建的主樓�����。由于信息網絡中心的搬遷涉及到校園網結構的重新調整���,關系到我校校園網的運行����,為了保證校園網絡不中斷�、不影響正常教學科研工作的開展,信息網絡中心很早就著手搬遷的規劃協調工作。對搬遷可能涉及到的機房��、設備�、線路進行科學規劃和調整,將需要在搬遷之前就要完成的工作盡量提早安排。目前這項工作正平穩有序地進行。
本學期,為了方便我校教職工積極使用網絡開展工作,信息網絡中心推出了面向校內教職工和研究生的免費電子郵件服務��,受到熱烈歡迎���。
二�、信息發展工作平穩有序開展,校園網信息資源日益豐富。
行政辦公網一直是我校的核心站點,也是信息網絡中心信息工作的重點�。信息網絡中心指定專人負責辦公網的維護工作�,保證公文的及時��,為我校管理工作做好服務。
中心網是信息網絡中心的部門站點����,同時也承擔著面向全校提供公共信息服務的職能���。信息網絡中心組織人力��,對中心網的各個欄目認真維護,保證了信息的更新率����。
信息網絡中心在人手有限�、信息資源缺乏的情況下�����,積極探索徐州師范大學網站建設的方式方法����,向學校提出了改進網站建設工作的意見和建議���。
本學期信息網絡中心協助宣傳部開展了部門網站檢查評比工作���,對部門網站的運行狀況進行了檢查�����,共同完成了檢查報告�。
信息網絡中心繼續積極為院系部門提供良好的信息服務�����,為部門上網工作提供便利�����,把虛擬主機的容量由40兆擴充到100兆。
三����、信息網絡中心內部建設進一步加強���,工作分工明確����,工作效率提高�����。
本學期���,學校任命管繼棟同志到信息網絡中心擔任主任�����,表明學校對信息網絡中心的工作進一步重視。管主任的到任使中心的工作關系進一步理順����,為更好地開展工作奠定了良好的基礎�����。
第7篇
關鍵詞:調度自動化系統數據網絡安全防護
1.引言
目前數據網絡在電力系統中的應用日益廣泛�����,已經成為不可或缺的基礎設施�。國家電力數據網一級網從1992年2月一期工程開始規劃建設���,到1997年7月二期工程開通運行�����,迄今已有近十年的發展歷史�����。目前國家電力數據網同時承載著實時準實時控制業務及管理信息業務,雖然網絡利用率較高,但安全級別較低��、實時性要求較低的業務與安全級別較高�����、實時性要求高的業務在一起混用���,級別較低的業務嚴重影響級別較高的業務���,并且存在較多的安全隱患����。隨著信息與網絡技術的發展���,計算機違法犯罪在不斷增加���,信息安全問題已經引起了政府部門和企業的高度重視�����。因此根據調度自動化系統中各種應用的不同特點�,優化電力調度數據網���,建立調度系統的安全防護體系具有十分重要的意義��。
2.電力系統中各類網絡應用的特點
電力系統中網絡應用的分類方法有許多種�,根據業務類型�����、實時等級���、安全等級等因素����,電力系統的網絡應用主要可分為生產數據傳輸和管理信息傳輸兩大類�����,另外其他的應用還包括話音視頻傳輸和對外服務等�����。不同的應用系統對安全有不同的要求,如圖1所示����。
圖1基于數據網絡的應用系統對安全性的要求
生產控制類中的基于TCP/IP的數據業務,速率要求不高��,數據流基本恒定����,但業務實時性較強,其中遙控遙調更與電網安全直接相關����,可靠性要求較高���;與計費相關的電力市場業務對安全性有特殊要求�,不僅要求可靠�����,原始數據還要求保密���。從應用范圍來看����,生產控制類業務分布在各網省調及大量發電廠和變電站��,屬于較特殊的一類窄帶業務��。
管理信息類業務突發性很強,速率要求較高��,實時性不強��,保密性要求較高����,覆蓋除生產控制類以外的所有數據業務����,其網絡布局集中于行政辦公中心�����,一般要求為寬帶網絡��。
話音視頻類業務是指建立在IP平臺上的電話及會議電視,對實時性要求高,安全可靠性無特殊要求�����,目前其質量還有待提高。對外服務類業務則是指根據市場的需要而建立的數據網絡�。
3.調度自動化系統的安全防護
3.1制定調度自動化系統安全防護策略的重要性
近年來調度自動化系統的內涵有了較快的延伸�,由原來單一的EMS系統擴展為EMS�����、DMS���、TMS�、廠站自動化�����、水調自動化���、雷電監視��、故障錄波遠傳、功角遙測�����、電力市場技術支持系統和調度生產管理系統等��。數據網絡是支持調度自動化系統的重要技術平臺,一般要求數據網絡安全可靠,實時性要求在秒級或數秒級,其中發電報價系統���、市場信息等電力市場信息系統由于需要與公網連接,因而還要求做加密及隔離處理。
建立調度自動化系統的安全防護體系����,首先要制定安全防護策略����。應用系統的安全策略位于安全防范的最高一級���,是決定系統的安全要素�����。從大的方面講�����,安全策略決定了一個系統要達到的安全級別及可以付出的代價;從小的方面講�����,安全策略的具體規則用于說明哪些行為是允許的����,哪些行為是禁止的。系統是否安全,很大程度上依賴于最初設計時制定的安全策略����,因為今后的安全措施,都圍繞這一策略來選擇和使用�,如果在安全策略上出了問題�,將會給今后的應用系統帶來安全隱患��,從而使將來的安全建設處于十分被動的局面��。因此考慮調度自動化系統的安全,應首先根據系統對安全性�、可靠性�����、實時性、保密性等方面的不同特殊要求����,按照國家有關部門的規定�,從應用系統的各個層面出發,制定完善的安全防護策略�����。
3.2信息系統的安全分層理論
一個信息系統的安全主要包含五個層面����,即物理安全、網絡安全��、系統安全����、應用安全、人員管理。調度自動化系統的安全防護體系應包含上述五個層面的所有內容�。
物理安全主要包含主機硬件和物理線路的安全問題��,如自然災害、硬件故障、盜用��、偷竊等����,由于此類隱患而導致重要數據�����、口令及帳號丟失�����,稱為物理安全。
網絡安全是指網絡層面的安全�。由于聯網計算機能被網上任何一臺主機攻擊��,而網絡安全措施不到位導致的安全問題。
系統安全是指主機操作系統層面的安全�����。包括系統存取授權設置�、帳號口令設置、安全管理設置等安全問題��,如未授權存取�����、越權使用���、泄密�����、用戶拒絕系統管理�、損害系統的完整性等。
應用安全是指主機系統上應用軟件層面的安全。如Web服務器����、Proxy服務器��、數據庫等的安全問題。
人員管理是指如何防止內部人員對網絡和系統的攻擊及誤用等。
3.3國家對網絡及信息安全問題的有關政策和法規
國家有關部門對安全問題的有關政策和法規�,對制定電力調度控制系統的安全策略起到指導性的作用��。
公安部是國家企事業單位及公共安全的主管部門,已經頒布了安全防護方面的一系列文件,正在制定安全保密和保護的等級,規定各部門應根據具體情況決定自己的安全等級��,實行國家強制標準��。公安部規定�����,從安全保密角度看,政府辦公網應與外部因特網物理隔離,并認為自動控制系統應與外部網絡絕對物理隔離�,可根據業務的需要建立專用數據網絡�。
國家保密局是國家黨政機關安全保密方面的主管部門�����,也頒布了一系列安全保密方面的文件�����。1998年10月國家保密局頒布的“涉及國家秘密的通信����、辦公自動化和計算機信息系統審批暫行辦法”規定�����,涉及國家秘密的通信、辦公自動化和計算機信息系統的建設,必須與保密設施的建設同步進行��,系統集成方案和信息保密方案不可混淆��,應從整體考慮��。1999年7月國家保密局發出的“關于加強政府上網信息保密管理的通知”、1999年12月10號文“計算機信息系統國際聯網保密管理規定”和1998年1號文“計算機信息系統保密管理暫行規定”均確定,涉及國家秘密的計算機信息系統����,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接�,必須實行物理隔離�����。
1996年11月原電力部�、國家保密局752號文“電力工業中國家秘密及具體范圍的規定”明確了電力工業中涉及的國家秘密和重要企業秘密���,均必須參照國家有關保密方面的規定�����。
電力生產事關國計民生�����,電力系統的安全和保密都很重要,電力自動化系統要求可靠、安全、實時�,而電力信息系統要求完整�、保密����。兩種業務應該隔離,特別是電力調度控制業務是電力系統的命脈,一定要與其他業務有效安全隔離。
3.4調度自動化系統數據網絡的安全防護策略
3.4.1數據網絡的技術體制
規劃數據網絡技術體制和電力系統安全防護體系�����,應根據電力生產業務對數據網絡安全性����、可靠性��、實時性方面的特殊要求��,并遵照國家對單位和重要設施在網絡安全方面的有關規定。首先應根據網絡的規模��、目的�、服務對象、實時程度��、安全級別等綜合考慮����,確定最基本的網絡技術體制。
從應用和連接方式來看���,企業內部網絡有兩類:一類是與公網完全隔離、在鏈路層上建立的企業內部網絡一般稱為專用網絡����;另一類是連接于公網�����、并利用公網作為通道的企業內部網。第一類網絡除了面臨來自物理層面的安全問題外�����,主要面臨內部的計算機犯罪問題,如違規或越權使用某些業務����、查看修改機密文件或數據庫等,以及從內部發起的對計算機系統或網絡的惡意攻擊�����。第二類網絡除了具有上述安全問題外�,還要承受來自公網的攻擊和威脅,由于公網上黑客�、病毒盛行�����,網絡安全的攻擊與反攻擊比較集中地體現在公網上。
由于電力調度數據網的服務對象�����、網絡規模相對固定����,并且主要滿足自動化系統對安全性、可靠性�����、實時性的特殊需求����,為調度自動化系統提供端到端的服務,符合建設專網的所有特征��,所以電力調度數據網宜在通道層面上建立專網��,以實現該網與其他網的有效安全隔離�����。
目前國家電力數據網同時承載著調度控制業務和管理信息業務�,應當在將來通道資源允許的條件下,將現有電力調度數據網上的信息業務逐步分離出去,改造成為實時控制業務專用的數據網絡。
電力系統中的光纖通信網絡正在加緊建設��,采用光纖+SDH+IP模式容易實現對不同IP應用業務之間的物理隔離����,具有較高的傳輸效率,能滿足控制、保護等電力系統的關鍵業務的要求,便于調度部門能對網絡進行有效監控�����,并便于通信部門對外出租帶寬����。因此用光纖+SDH+IP模式建立調度數據專網是一個適當的選擇,可以很好滿足電力系統的下列要求:
(1)數據傳輸的實時性(繼電保護毫秒級,自動化秒級)���,要求網絡層次簡化。
(2)傳輸的連續性,通信負荷基本恒定�����,需要恒定帶寬�����。
(3)遠方控制的可靠性(遙控�����、遙調、AGC等),要求有效隔離。
(4)因特網時代的安全防護體系(防黑客、防病毒���、防破壞等)。
(5)網絡拓撲結構必須覆蓋遠離城市的電廠、變電站�。
(6)充分利用SPDnet的現有設備,節約大量資金�����,便于平滑過渡。
3.4.2調度專用數據網絡的安全防護措施
調度專用數據網除了傳送EMS數據外��,還傳送電能量計量計費����、水調自動化、電力市場信息和調度生產信息(工作票和操作票、發電計劃和交易計劃�、負荷預報���、調度報表���、運行考核等)�����。應根據各類應用的不同特點,采用不同的安全防護措施,如EMS等實時控制業務具有較高的優先級,應該優先保證,生產信息的優先級次之���,而電力市場信息須進行加密處理等。
采用調度專用網絡體制使數據網絡在網絡層的的安全得到最大程度的保證。但也不能保證100%的安全�����,對調度數據專用網絡還必須做到技術措施和管理制度雙管齊下�����,才有可能從根本上保障信息和控制系統的安全���。在管理制度方面,要做到:
(一)對全網實施監管�����,所有與電力調度數據網連接的節點都必須在有效的管理范圍內�����,保障安全的系統性和全局性��。
(二)加強人員管理,建立一支高素質的網絡管理隊伍�����,防止來自內部的攻擊����、越權、誤用及泄密��。
(三)加強運行管理�,建立健全運行管理及安全規章制度,建立安全聯防制度���,將網絡及系統安全作為經常性的工作。
(四)聘請網絡安全顧問�����,跟蹤網絡安全技術���。
在技術措施方面����,要做到:
(一)在網絡傳輸層��,為了保證數據網絡的安全����,又能向外傳輸必要的數據����,必須堅持調度控制系統與調度生產系統之間��、調度生產管理系統與企業辦公自動化系統(OA/MIS)之間有效安全隔離,它們之間的信息傳輸只能采用單向傳輸的方式�����。常采用的措施包括防火墻����、專用網關(單向門)、網段選擇器等進行有效隔離����。另外在調度數據專用網絡的廣域網和局域網上�,根據不同的業務系統���,還可采取以下技術手段:
(1)網絡安全訪問控制技術��。通過對特定網段和服務建立訪問控制體系���,可以將絕大多數攻擊阻止在到達攻擊目標之前���?��?蓪嵤┑陌踩胧┯校悍阑饓ΑPN設備、VLAN劃分、訪問控制列表�、用戶授權管理�����、TCP同步攻擊攔截、路由欺騙防范、實時入侵檢測技術等��。
(2)加密通信技術��。該措施主要用于防止重要或敏感信息被泄密或篡改�����。該項技術的核心是加密算法。其加密方法主要有:對稱型加密、不對稱型加密、不可逆加密等。
(3)身份認證技術��。該項技術廣泛用于廣域網���、局域網�����、拔號網絡等網絡結構���。用于網絡設備和遠程用戶的身份認證�,防止非授權使用網絡資源����。
(4)備份和恢復技術。對于網絡關鍵資源如路由器、交換機等做到雙機備份,以便出現故障時能及時恢復���。
(二)在系統和應用層面,包括計算機防病毒技術、采用安全的操作系統(達B2級)��、應用系統的關鍵軟硬件及關鍵數據的熱備份和冷備份等�。防病毒技術和備份措施是通常采用的傳統安全技術����,而安全的操作系統是一個新的發展趨勢。
4.結論
電力調度數據網絡是調度自動化系統的支撐平臺��,網絡安全是系統安全的保障�����,專用數據網絡是整體安全防護體系的基礎��,專網體現在網絡互聯、網絡邊界��、網絡用戶的可管性和可控性�����。目前�,國際上正在制定相應的自動化系統網絡安全標準,國內也開始進行相關課題的研究����,對于調度自動化系統及數據網絡的安全防護措施����,首先應在網絡技術體制方面�����,采用光纖+SDH+IP的數據專網模式�,在全系統實現電力調度專用數據網絡與其它公用信息網絡�、電力生產控制系統與辦公自動化系統等的安全隔離,同時在調度專用數據網及各相關應用系統上采取必要的安全防護技術手段,建立嚴密的安全管理措施�����,以確保電力調度系統和電力系統的安全�����。
參考文獻:
1.余建斌.黑客的攻擊手段及用戶對策.北京:人民郵電出版社,1998年
2.OthmarKyas著.王霞���,鐵滿霞,陳希南譯.網絡安全技術-風險分析�����、策略與防火墻.北京:中國水利水電出版社���,1998年
3.趙遵廉等主編�����,電力市場運營系統��,北京:中國電力出版社,2001年1月
4.辛耀中等��,電力系統數據網絡技術體制分析����,電力系統自動化,2000年11月
第8篇
列車調度指揮系統用于保障鐵路行車的安全���,而安全問題又是鐵路行業的頭等大事,由于鐵路與網絡的聯系愈加緊密�����,保障列車調度指揮系統安全就尤為重要�����。其系統網絡安全主要是中心服務器安全和網絡安全。另外列車調度指揮系統使用以太網來傳輸各種調度信息,網絡內部廣泛采用的協議是TCP/IP協議,TCP/IP協議為實現網絡信息的共享和傳遞起了舉足輕重的作用����,雖然一定程度上可以維護網絡安全�����,但還存在一些安全漏洞:
a.身份認證方式的安全性較弱,口令容易被非法竊取。
b.機密信息和數據在傳輸過程中有可能被惡意篡改或被非法竊取��。
c.信息可抵賴��。
例如行車路線���、生產計劃等電子文件一旦被一方所否認��,另一方沒有已簽名的記錄作為仲裁的依據���。就以上存在的安全問題可總結出系統網絡受到的危險和風險為:網絡病毒的傳播����;地址欺騙���;序列號攻擊�����;利用端口掃描�����、拒絕服務攻擊等惡意攻擊����。雖然現在網絡中存在安全機制,但沒有一種安全策略是十全十美的,必須制定災難恢復計劃以確保一旦硬件和軟件發生故障、系統受到惡意攻擊時,能夠及時采取應對措施��,及時將列車調度指揮系統恢復正常運行�����,減小損失[3]�。
2列車調度指揮系統網絡的維護方案與管理
實施時應將管理與技術兩手抓��,具體方案和措施如下:首先���,管理層面應考慮管理制度的建立�、管理的組織及運行中的維護���。系統安全不可能只從單個層面或單個環節就可解決��,必須全方位多層面配合進行�����,建立統一的安全策略,完善管理制度,堅持運維。統一的安全策略可以規范整個系統的管理流程和管理方法����,便于管理的組織和實施�,而只有堅持運維才能夠保證系統長期��、穩定、有效的運行�。其次�,在技術層面應注意物理安全����、網絡安全、系統安全及應用安全等方面�����,在使用中��,技術層面的安全問題分界模糊�,可以交叉實現���,具體可由以下幾方面入手:
a.防火墻��。
防火墻技術是實現子網邊界安全的重要技術���?���?梢詫⒄狭硕喙δ艿姆阑饓ψ鳛楹诵脑O備在網絡中取代路由的位置��,這樣可以有效防護來自網絡層和應用層的威脅��,并且還能降低網絡的復雜性。
b.網絡防病毒系統�。
列車調度指揮系統由網絡服務器���、通信傳輸設備及車站終端機等設備組成�。使用統一安全策略的集中安全管理中心對病毒進行統一管理,對客戶端和服務器進行防病毒保護��,并且使用云安全技術����,利用大量的客戶端對網絡中軟件行為的異常監測,及時的獲取木馬�、惡意程序的最新信息,并將獲得的信息推送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端,以實現系統的網絡安全維護���。
c.網絡拓撲結構。
利用網絡分段技術劃分vlan,改變網絡拓撲結構���,以實現系統網絡中生產網、辦公網和廣域網的隔離����,確保網絡資源與非法用戶的隔離,是一項基本的網絡防護措施和保護手段�����。
d.身份認證系統。
目前采用的以靜態密碼為主的身份認證系統存在安全隱患���,用戶名及密碼容易被竊取,安全風險很大�����。使用動態口令可解決此類安全隱患
e.入侵檢測技術�。
入侵檢測的主要功能是控制對網絡的非法訪問,通過監視��、限制通過網絡的數據流,防止外對內��、內對外的非法訪問�����,隔離內部網和外部網,為監視局域網安全提供便利�����。入侵檢測系統(IDS)是從計算機系統及網絡系統當中收集數據信息�,再通過這些收集的信息�����,分析有入侵特征的網絡安全系統[4]���。IDS不僅能檢測出系統中違反系統安全規則或者威脅到系統安全的行為���,還可以有效地彌補防火墻的被動防御弱點����。當系統受到攻擊時采取相應的措施進行有效的網絡安全防護��,在被入侵攻擊后����,收集入侵攻擊相關的各種信息����,作為防范系統的知識,添入策略集,增強系統的防范能力�����,避免系統再次受到同類型的入侵[5]���。
3結語
第9篇
【關鍵詞】企業網絡安全����;風險分析;對策
一��、網絡結構安全風險分析及對策
1�、外部網絡安全分析及對策
企業網絡通常與外部網絡連接,方便企業員工與外界互連����。但由于網絡涵蓋面廣����,外網中存在太多的不安全因素�,如果系統內部局域網與系統外部網絡之間沒有采取安全防護措施,內部網絡很容易遭到來自外部網絡一些入侵者的攻擊,這些攻擊或影響企業網絡系統的正常運行或使資料泄漏��,所以可以采取以下的網絡安全措施:
(1)加強網絡結構設置:為了加固網絡結構可以將網絡結構設置為如圖1所示的結構:
第一道安全防線:外部防火墻抵擋外部網絡的攻擊�����。第二道安全防線:DMZ區域的堡壘主機��。堡壘主機作為進入內部網絡的一個檢查點,把整個網絡的安全問題集中在堡壘主機上解決,從而省時省力��,不用考慮其它主機的安全問題���,能進一步抵擋外部網絡的攻擊����。第三道安全防線:內部防火墻。負責管理DMZ區域主機對內部網絡的訪問�����,并管理所有內部網絡對DMZ區域的訪問����。通過以上網絡結構的設置��,非法用戶必須經過三個獨立的區域才能到達內網�,加大了入侵者攻擊的難度�,加固了內部網絡的安全性,但網絡運維的成本相對較大�。
(2)加強員工的網絡安全意識:內網用戶所遭到的攻擊多來自于木馬�、病毒和網絡釣魚����,而讓這種攻擊得逞的原因是內網用戶點擊了不安全網站、木馬綁定的圖片或文件����,所以加強員工的安全教育����,對于保障網絡安全非常重要�����。
2����、內部網絡安全分析及對策
企業網絡內部攻擊相對于外網入侵要略顯容易�����,大約有70%~80%的網絡攻擊來自于網絡內部��,所以企業面臨的最大網絡安全威脅是在辦公室內部。常見的內部局域網威脅包括:誤用和濫用關鍵敏感數據����;內部人員故意泄漏內部網絡的網絡結構�;內部不懷好意的員工通過各種方式盜取他人信息傳播出去���。針對以上內部網絡安全問題���,可以采用以下安全措施:
(1)軟件管理:啟用內網監聽軟件�、加強內網的監控;固定企業內客戶端的IP地址�����、加強用戶的管理�;查看服務器日志文件,保護內網安全�。(2)硬件管理:網絡設備中包含路由器����、交換機����、防火墻等。首先應注意保障硬件設備的物理安全�����,將其安置在相對安全的地方����,不要安置到所有員工都容易接觸的地方;其次管理人員應正確理解硬件設備的應用,避免由于疏忽或不正確理解而使這些設備安全性不佳����。
二��、網絡操作系統安全風險分析與對策
目前常用網絡操作系統有windows、UNIX��、linux操作系統����,這些操作系統開發在過程中要考慮到方便用戶使用���,但在方便使用的前提下也暴露出一些問題:(1)操作系統默認配置存在安全隱患:如Windows操作系統默認設置可以從光盤或U盤啟動���,這種設置可以避開登錄密碼直接進入操作系統�,另外操作系統默認安裝了一些不常用的服務和端口,為非法用戶的入侵提供了便利。(2)操作系統支持在網絡上共享數據���、加載或安裝程序,這些功能方便了非法用戶注入和運行木馬程序,為獲取用戶的信息提供了方便之門�。(3)操作系統自身結構問題��,如:windows操作系統自身提供的IPC$鏈接、遠程調用等都存在安全隱患。IPC$鏈接是通過DOS界面在獲得管理員權限的前提下獲得遠程計算機的信息����;ftp服務傳輸過程為明碼傳輸��,使用抓包工具即可獲取FTP服務器的登錄賬號和密碼,telnet遠程登錄需要經過很多的環節����,中間的通訊環節可能會出現被人監控等安全問題�����,所以為了加固網路操作安全可以采用以下措施:
1、加強物理安全管理 禁止通過DOS或其它操作系統訪問NTFS分區。在BIOS中設置口令�,禁止使用U盤或光驅引導系統����。
2��、加強用戶名和口令的管理 windows操縱系統Administrator管理員用戶和Unix/Linux操作系統root特權用戶均具有對操作系統的完全控制權限��,所以是入侵者想要獲取的信息��。用戶名保護:Windows非管理員賬戶在輸入密碼錯誤后可設置成鎖定該用戶���,但是Administrator不能刪除和禁用�����,所以攻擊者可以反復嘗試登陸,試圖獲取密碼�。為了增加攻擊者獲取管理員權限的難度���,可以為Administrator重命名����,這樣攻擊者不但要猜出密碼,還要先猜出管理員修改后的用戶名�����。Root用戶不能更名����,為了保護該用戶,在沒有必要的情況下,不要用root用戶登錄本機及遠程登錄服務器。密碼保護:密碼設置應按照密碼復雜度要求設置并定期更換密碼,同時密碼的設置不要用普通的英文單詞或比較公開的信息如生日�、車牌等��。
3、加強用戶訪問權限的管理 有些管理員為了方便用戶訪問文件系統,為用戶開放了所有權限�����,如windows操作系統中為everyone工作組授予了“完全控制”權限�����,UNIX/Linux操作系統為所有用戶設置讀寫執行權限,這樣的設置方便非法用戶上傳木馬���,所以為了文件系統的安全,必須重新設置文件系統的權限�,在保證正常運行的前提下���,為用戶設置最小的訪問權限���。
4���、加強服務和端口的管理 當用戶開啟操作系統后�����,操作系統自帶的某些服務會自動運行,而非法用戶會針對這些服務進行遠程攻擊�,而一些不常使用的端口也容易被非法用戶利用��,作為再次入侵的后門,所以應該將不常使用的服務和端口關閉��。
三����、數據安全風險分析及對策
企業網絡的數據安全不可避免的受到外界的威脅,而數據的任何失誤��,都可能對企業帶來巨大的損失���。目前數據泄漏的主要途徑是:辦公計算機或硬盤的外帶����;利用移動存儲設備將數據帶出;通過網絡傳輸文件����;通過外設拷貝數據;服務器被非法入侵等。為了防止企業數據泄露可以采用如下措施:
1����、磁盤加密 針對硬盤丟失或被盜造成的泄密風險����,可以通過對磁盤驅動層的加密加固處理���,保證硬盤在被非法外帶或丟失后呈“鎖死”狀態��,硬盤內容無法被他人所讀取����。
2、移動存儲設備使用管理 對于移動存儲設備設置加密寫入�����,即拷貝到該類設備的文檔都會以密文形式存在�,密文只有拷貝回本地計算機才能解除加密。
3����、文檔傳輸控制 對于文檔傳輸可以采取文件外發對象控制(指定可以外發文件的對象列表)�、文件外發加密(外發的文檔處于加密狀態)����、文件外發審批(外發的文件需要經領導審批方可發送)等形式進行控制。
第10篇
關鍵詞: 信息安全 網絡安全管理 問題與對策
談到“安全管理”��,很多人首先想到的可能是“網絡安全”���。其實安全管理不僅僅只是網絡安全�,網絡安全只是其中的一部分����,我們必須要把“網絡安全”上升到“信息安全”的高度,只有有效地實現了信息的安全�����,才能算做好了安全管理工作�����。原因很明顯���,如果只是網絡被破壞���,那只要花一定金額的錢就可以重建網絡��,最多只是需要時間而已,其損失可以被估量。而如果關鍵信息或重要信息被丟失����、破壞�����,那后果是及其嚴重的,因為很多重要信息無法被重構,花再多錢也無用,并且其產生的負面影響非常重大��。
所以���,我就安全管理中的幾個重要的問題展開討論��,并就解決該問題的對策進行更深一步的研究。
1.首要問題:人的因素
1.1安全管理中的兩類人員
可能會有很多人有疑問����,人怎么會成為安全管理中的首要問題呢�?當然��,這里的“人”包括兩類:一類是內部的管理人員或合法接入內網的外部人員�;另一類是外部的攻擊人員�。其中最重要的,也是“人”之所以成為“首要問題”的原因的是第一類人員�;而第二類人員可以歸結為網絡安全技術問題之一���。
其實只要設想一下就可以明白:對某個網絡�,不管其結構����、大小,假如說通過一定的技術手段��,它已經成為“銅墻鐵壁”�,這時它夠安全嗎?記得有這樣一句話:堡壘最容易從內部被攻破�����。也就是說,如果網絡的內部工作人員甚至管理人員出了問題�����,再堅固的銅墻鐵壁也只是薄紙一張�。對于網絡管理員,可能他有意制造了網絡安全問題――嚴重的可能成為計算機犯罪�;也許他是無意的――由于技術水平的問題����,可能他在無意之中將網絡的后門洞開��。同樣對于合法接入內網的外部人員,由于他“混”入了“信任域”����,也可能會因此而使大量IT設備癱瘓�����。
上面所述就是信息安全管理工作成敗的關鍵因素之一,人的因素――來自內部職工或其它合法使用信息者的內部濫用�。
1.2一個非典型例子
2002年10月29日���,蘇州市滄浪區人民法院對一起破壞計算機信息系統的案件依法作出了判決��。這是江蘇省首例破壞計算機信息系統案件。
5月18日�,被告人羅露利用其事先從客戶端SQL Server企業管理器中獲取的江蘇省普通高中會考辦公室FTP站點服務器的IP地址����、帳號用戶名���,以及密碼��,先后兩次使用Leapftp軟件非法登錄至江蘇省中小學信息技術等級考試網站(江蘇省普通高中會考辦公室專用服務器)��,執行刪除文件命令,共刪除了100個數據文件����,這些文件均系江蘇省中小學生信息技術等級考試考生成績文件�����,造成85所學校9991名考生的成績被刪除。后經江蘇省普通高中會考辦公室組織各考點將備份文件重新上傳�����,方將數據恢復����。
此例中的事主盡管并非服務器的直接管理者���,但他也是管理者之一�����,否則一般是不可能接觸到用戶名和密碼的���?����?梢钥闯觯祟愂录坏┌l生,后果不堪設想�。
1.3解決對策
對于解決這個問題的對策��,說簡單也簡單,說有難度也是有難度的,關鍵在于制度的健全及管理的到位����。制度的制訂可能是比較容易的���,但要考慮它是否真的用于了管理�����,是否真的適合于管理(是否切實可行)�。管理說起來也是簡單的�����,但要看它是否真的嚴格執行了制度,有沒有敷衍了事。非常重要的一點,就是對網絡以及網絡管理者的監控機制(也屬于管理范疇)���,特別對于網絡管理者也要有相應的約束機制。
在輿論宣傳方面也可以下點功夫。網絡發生安全危機�����,多數因為內部人員本身沒有具備基本的網絡安全常識�����,導致黑客們有機會入侵計算機�,達到破壞的目的��。因此��,我們有必要提高上網人員的網絡安全管理意識,強化網絡道德���、網絡心理、網絡“國家安全”和網絡法制教育���,使大家都能意識到自覺維護網絡安全的重要性和緊迫感,并且自覺遵守有關網絡安全的法律法規����,從而自覺地維護網絡安全��。
2.相應軟硬件以及安全技術
2.1選擇符合當前網絡管理要求的硬件設備
多年前橫行網絡的ARP攻擊應該都還是記憶猶新的。
計算機軟硬件的發展日新月異�����,網絡的發展也是一樣����。所以較早建立的網絡設備可能跟不上網絡的發展�����,在應付新的網絡突發事件的時候往往顯得力不從心�����。早期的局域網建設一般比較簡單,網絡設備一般是集線器�����,最多也是一些沒有管理功能的二層交換機����,局域網的規模一般也較小,一般局域網內的機器都放在同一個C類網絡中�。在這種情況下����,發生ARP攻擊是在所難免的�。并且由于發生ARP攻擊時往往只要一臺機器中招,都會引發局域網癱瘓�。解決ARP攻擊的方法有軟件的也有硬件的����,但根本的解決方案還是需要相應網絡設備的支持����,要對那些不符合當前網絡管理要求的設備進行升級改造,然后再輔以適當的網絡配置管理方案�����。
2.2網絡配置管理技術
對于局域網��,網絡的拓撲結構很重要���。網絡中所必需的接入交換機��、匯聚交換機、核心交換機�、防火墻設備����、上網認證設備等所處的位置���,以及相互關系����,還有局域網內IP地址的分配,VLAN的劃分等一整套配置信息與信息網絡安全是息息相關的�����。
所以�,在相關網絡硬件設備的支持下,我們更應從技術應用層面考慮,通過各種安全技術手段來監督�����、組織和控制網絡通信服務���,以及信息處理��,確保計算機網絡的持續正常運行��,并在計算機網絡運行異常時能及時響應和排除故障��。
2.2.1運用VLAN(虛擬局域網)技術
VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的技術��。VLAN技術的核心是網絡分段,根據不同的應用業務和安全級別,將網絡分段并隔離�,實現相互間的訪問控制�����,可以達到限制用戶非法訪問的目的。對于TCP/IP網絡,可把網絡分成若干IP子網����,各子網間必須通過路由器����、交換機���、網關或防火墻等設備進行連接����,利用這些中間設備的安全機制來控制各子網間的訪問。
除此之外,有些子網��,如財務網絡�����、人事網絡等�����,如果管理者覺得有必要的話,干脆就把它和主干網絡從物理上斷開。因為VLAN之間通過一定的安全策略還是可以互訪的��,而采用物理斷開的方式實際就是做了兩個互不交叉的網絡���,理論上更安全�。
2.2.2使用防火墻技術
防火墻是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術���,越來越多地應用于內部網絡與外部網絡的中間,保障著內部網絡的安全�。防火墻是實現校園網絡的安全保護最有效的一種方法��。目前,比較成熟的防火墻技術主要有兩種:包過濾技術和服務器技術�。采用防火墻技術最主要的是安全規則的設置�����。我們應通過防火墻規則設置對網絡數據包的協議、端口��、源/目的地址����、流向進行審核;只打開必須的服務(如:HTTP、FTP、SMTP����、POP3等)以及所需其他服務���;對辦公網用戶進行流量控制��;進行時間安全規則變化策略,控制內網用戶訪問外網時間;設置IP地址MAC地址綁定�,防止IP地址欺騙�;定期查看防火墻訪問日志����。
端口映射其實就是NAT地址轉換的一種,這里特指靜態端口映射�。就是在防火墻(或其它相應設備如路由器)上開放一個固定的端口,然后設定此端口收到的數據要轉發給內網哪個IP和端口�,不管有沒有連接��,這個映射關系都會一直存在。例如����,將內網192.168.1.2的80端口和外網221.224.80.254的80端口進行映射�����,則訪問221.224.80.254就是直接訪問192.168.1.2。這里除了可以實現“一址(一個公網IP地址)多用”外�,更重要的是把不需要對外的端口封閉了���,提高了安全性����。例如����,“遠程桌面”默認的端口是3389,攻擊軟件如果掃描到3389端口開著���,那這臺計算機就懸了,但如果端口映射時映射成另一個端口會怎么樣呢����?
2.2.3使用反病毒技術
計算機病毒���、惡意代碼���、特洛伊木馬等是影響網絡安全的另一個重要因素�。面對泛濫的計算機病毒����,為保證計算機����、計算機網絡的安全,應該采取的措施是:一是要制定反病毒策略,部署多層防御戰略,所有計算機(服務器)都安裝殺病毒軟件�����,最好是統一的網絡版殺毒軟件��。二是要定期更新反病毒軟件���,及時更新病毒庫�,使用專業正版殺毒軟件對網絡服務器中的文件進行掃描和監測。
2.2.4采用入侵檢測系統
入侵檢測系統(IDS)是一種對網絡傳輸進行即時監視��,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備�,是一種不同于防火墻的主動保護網絡資源的網絡安全系統,是防火墻合理和必要的補充����。IDS能夠實時分析內部網和外部網的數據通訊信息���,分辨入侵企圖���,在網絡系統受到危害前以各種方式發出警報����,并且及時對網絡入侵采取相應對策最大限度地保護網絡的安全�����。
3.信息網絡安全中的“木桶效應”
所謂“水桶效應”是指一只水桶想盛滿水,必須每塊木板都一樣平齊且無破損�����,如果這只桶的木板中有一塊不齊或者某塊木板下面有破洞���,這只桶就無法盛滿水��。一只水桶能盛多少水�,并不取決于最長的那塊木板���,而是取決于最短的那塊木板�。“水桶效應”也可稱為短板效應。一個水桶無論有多高��,它盛水的高度取決于其中最低的那塊木板��。
在信息網絡安全管理中也是這個道理�,組成木桶(網絡安全)的各塊木板(管理制度�����、安全策略�、安全架構等)都不能出現問題�,各塊木板之間也不能出現縫隙,任何一方面出了問題,則這個網絡就可能是不安全的���。
事實上,到目前為止�,也沒有哪一種技術����、哪一款產品能夠滿足產生這樣一個“完美”的木桶的要求�����。
校園網絡安全問題是一個復雜的系統工程,信息對抗與安全永無止境�����,信息網絡安全也不可能絕對一勞永逸��。因此��,加強信息網絡的安全管理是當前非常迫切、充滿挑戰性的任務�。網絡的安全威脅既有來自內網的�����,也有來自外網的,只有將技術和管理都重視起來���,才能構筑一個相對更加安全的網絡,使網絡朝著健康的方向發展��。
參考文獻:
[1]付忠勇.網絡安全管理與維護.清華大學出版社,2009.6.
第11篇
《瑞星2010中國企業安全報告》數據指出���,2010年,高達90%的傳統企業內網(僅計算與互聯網連通的企業網絡)曾被成功入侵��。
對于與互聯網有大量信息交互的政企部門來說���,瑞星防毒墻與殺毒軟件“強強聯合”��,能夠為其提供專門���、專業��、一體化的防病毒安全防護。
缺乏整體反病毒防護 政府網站倍受病毒困擾
某局內部設多個部門�,并且有9個直屬下級單位�����,其網絡分為內網和外網:
內網――總局內的各職能部門辦公使用�����,其中要處理的信息包含很多信息���,并被下屬單位相關部門用于向總局報送數據��,發送郵件、傳送文件�;
外網――該局的門戶網站���,主要向社會公眾提供公共信息查詢���,政策法規��,政務信息公開以及政府辦公使用。
與外界聯系的增多����,來自互聯網的威脅(主要包括病毒和惡意攻擊)顯著增加����,給單位內部與下屬單位以及各職能部門之間日常的郵件通信��、公文傳輸帶來了更大的安全風險����。此外���,內網中重要的服務器也需要專門的防病毒保護���,因此需要在互聯網的入口處和內網中采取必要的防病毒���、防攻擊安全措施��。
瑞星“綜合立體防毒”整體解決方案
瑞星整體安全解決方案借鑒最新的安全思想,從“綜合立體防毒”的觀點出發,幫助該局建立一個覆蓋全網�����、可伸縮�、抗攻擊的防病毒網絡,對網關處部署防毒墻,構建病毒防護屏障�����。
在采納了瑞星安全專家的建議后����,該局同時在其網絡外部和內部署了瑞星RSW-9300防毒墻。
外部――一臺瑞星防毒墻部署在外網與互聯網連接的邊界,用于阻止來自互聯網的威脅和攻擊,保護外網中的WEB服務器和外網中用戶終端的安全���。
部署方式:網橋接入。這樣接入的優點是:
1.對原有網絡結構無影響��;
2.安裝方便,防毒墻配置相對簡單;
3.可以通過網橋管理IP直接管理�����,無須另接管理口�。
內部――內網部署多臺瑞星防毒墻,在該局上級單位與各下屬單位網絡邊緣分別部署一臺防毒墻,不僅保證網絡間傳輸數據的安全,而且可以實現對各辦公網間傳播的病毒進行查殺����、過濾和攔截�,有效防止病毒在全局網絡的爆發�����,保障全局業務系統正常運行。
部署方式:網橋接入。外網使用網橋接入的優點是:
1.對原有網絡結構的無影響�����;
2.支持集中管理����,策略統一配發;
3.可以通過網橋管理IP直接管理,無須另接管理口��;
4.對整個網絡系統中的病毒進行過濾和查殺�����,清除已經進入網絡的病毒�����,阻止病毒的相互傳播;
第12篇
【關鍵詞】網絡協議���;安全系統;方案設計
1 引言
易連科技科技有限公司(Ningbo Ocean Network Technology)是一家專業生產機械塑料類產品��。公司成立于1994年�,地處境里發達的沿海城市—寧波。按照易連科技有限公司的網絡建設規劃和總體要求��,我們計劃對易連科技有限公司的網絡在利用原有綜合布線系統和設備的基礎上��,重新規劃實施�,建設易連科技有限公司的企業內聯網�,以滿足網絡整體性能的要求,并為各種網絡服務和信息系統的使用提供運行良好的網絡平臺。
按照易連科技有限公司的網絡建設規劃和總體要求,現在將對易連科技有限公司新購的和原有的Cisco公司的設備進行相關的配置和實施�,使易連科技有限公司網絡滿足設計的要求����,實現高效的辦公網絡體系�。將網絡復雜化�,分層化,滿足發展的易連科技有限公司信息化的要求�,并具有一定的可擴展性�����,滿足企業分公司和總公司的員工增長的要求。
易連科技有限公司實施階段分為五部分��,分別是交換機部分�����,路由器部分����,服務器部分����,廣域網部分和網絡安全性部分。
易連科技有限公司地處發達的沿海城市—寧波��,該公司通過網絡來發展業務��。隨著該公司業務量的不斷擴展��,公司的規模不斷擴大,員工人數的不斷增加���,并要在溫州建立一個分公司?�,F有的網絡系統逐漸不能滿足企業信息化建設的要求。因此計劃對寧波總公司的局域網與溫州分公司網絡進行改善��,以提高網絡的可用性��,安全性,可靠性���,并具有一定的可擴展性要求,用來滿足企業業務發展的需求�����。
2 需求分析
(1)企業網絡需求
寧波總公司和溫州分公司的局域網絡通過路由連接成一個統一的企業內聯網���,滿足易連科技有限公司對網絡統一管理的要求�����。寧波總公司和溫州分公司的路由器相連��,計劃使用OSPF(開放最短路徑優先協議)作為路由協議。選用OSPF的好處在于OSPF作為鏈路狀態協議已成為業界標準�����,在各廠商中具有廣泛的支持基礎����,并且具有路由信息傳輸的可控性和路由鏈路負載均衡的能力。
(2)企業系統的總體需求
溫州分公司通過專線連接到寧波總公司網絡��,使用總公司的單一出口訪問因特網��,以提高網絡的安全性�,而且公司的服務器等全部在寧波總公司實現���,分公司只使用總公司提供的應用服務����,不需要自己建設����。
出口處配置防火墻,出入因特網的通信流量都必須經過防火墻的過濾,通過防火墻對易連科技有線公司的網絡加以保護�,并實現安全的控制��。
寧波總公司局域網部分在網絡結構上分為3層,核心層,匯聚層和接入層,接入層交換機全部冗余上行鏈路��,分別上聯到2臺匯聚層交換機�,也保證了網絡的安全性和可靠性。同時LAN部分會啟用VTP和STP�,實現VLAN的統一配置管理和環路避免��。
(3)企業網安全總體需求分析
運行系統的安全,在寧波總公司應用HSRP對設備進行備份 ��。即保證信息處理和傳輸系統的安全����,它側重于保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯���、處理和傳輸的信息造成破壞和損失。系統信息的安全,通過域環境管理用戶賬戶,設置用戶存取權限控制,數據存取權限�����、方式控制����,安全審計,安全問題跟蹤,計算機病毒防治��,數據加密����;信息傳播的安全�����,對非法���、有害的信息傳播后造成的后果�����,能進行防止和控制����,避免公用網絡上大量自由傳輸的信息失控���。
(4)基于多協議的安全項目整體規劃
此次易連科技有限公司網絡建設將采用先進的計算機�����,網絡設備和軟件�,以及先進的系統集成技術和管理模式����,實現一個高效的辦公網絡體系。網絡中的各類服務器設備和網絡設備以及各種操作系統和應用軟件必須考慮技術上的先進性�,國內外及各行業的通用性�,并且要有良好的市場形象和售后技術����,便于維護和升級。
(5)設計原則
工程實施依照國家有關標準完成�����。項目設計應滿足易連科技有限公司未來發展的要求����,即公司規模擴大�,本設計仍然能夠滿足公司運營的需求或方便的變更和升級。采用先進的�,成熟的����,業界標準的����,在市場上有著廣泛應用的技術。項目設計應遵循實用的原則�,避免不切實際貪大求全����。所有操作系統及應用軟件采用正版軟件�����。所有網絡設備應是主流產品�,保證所有設備均為新品并能提供良好的技術支持��。工程實施嚴格按照合同規定日期完成并保證質量����。工程實施需要提供詳細的文檔資料及配置手冊�。應提供完善的培訓及售后服務。
3 多協議安全系統的設計與實現
按照易連科技科技有限公司的網絡建設規劃和總體要求��,現在將對易連科技有限公司新購的和原有的Cisco公司的設備進行相關的配置和實施��,使易連科技有限公司網絡滿足設計的要求����,實現高效的企業辦公網運行���。將網絡復雜化��,分層化,滿足發展的易連科技有限公司信息化的要求����,并具有一定的可擴展性����,滿足企業分公司和總公司的員工的可擴展性。
易連科技有限公司安全系統的設計與實現主要為多協議的設計��,分別是交換機VTP協議�����,STP和MSTP協議����,HSRP協議�,廣域網協議和網絡安全協議等。
(1)交換部分VTP設計實現
當易連科技有限公司網絡擴大��,交換機數量增多時��,可以減少管理員的工作量���,在維護整個企業網絡上VLAN的添加�����,刪除和重命名工作時��,還可以確保配置的一致性�����。從而降低了為止的復雜度,大大減輕了網絡管理人員的工作負擔�。
VTP版本為v1VTP域口令為SXY�����,VTP修剪設為啟用,VTP Server包括SXY-SW3-1,SXY-SW3-2,SXY-SW3-3,VTP Client包括 SXY-SW1~5�����。
(2)交換部分STP的設計實現
生成樹協議的原理是把網絡拓撲的環形結構變成樹型結構����,最主要的應用是為了避免局域網中的網絡環路,解決以太網網絡的廣播風暴問題,主要配置命令如下所示����。
SW(config)#spanning-tree vlan ID priority 4096
SW(config)#spanning-tree vlan ID priority 4096
(3)Ethernet Channel以太網通道設計
EthernetChannel以太網通道通過鏈路聚合技術捆綁多條通道來提高整體帶寬��,并運行一種機制,將多個以太網端口捆綁成一條邏輯鏈路�。
SW3-1(config)#interface range F0/6 - 7
SW3-1(config-if-range)#channel-group number mode on
(4)HSRP熱備份路由協議設計實現
企業網絡兩臺匯聚層交換機上啟用熱備份路由協議(HSRP)�����,其設計目標是支持特定情況下IP流量可以從故障設備切換到其他設備上而不會引起混亂,并允許主機使用單臂路由作為網關��,在實際第一條路由器使用失敗的情況下�����,仍能保持與網絡的連通。
SW(config)#interface vlan 10
SW(config-if)#standby 10 ip 192.168.110.1
SW(config-if)#standby 10 priority 120
(5)VPN專線技術設計
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的���、安全的連接,是一條穿過混亂的公用網絡的安全����、穩定的隧道����。虛擬專用網是對企業內部網的擴展�����。虛擬專用網可以幫助遠程用戶��、公司分支機構����、商業伙伴及供應商同公司的內部網建立可信的安全連接���,并保證數據的安全傳輸�����。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入����,以實現安全連接�;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網��。
(6)網絡安全性設計
防火墻位于易連科技科技有限公司總公司與外網之間����。易連科技有限公司的所有網絡通信通過進行流量過濾�����。防火墻對流經它的網絡通信進行掃描���,這樣能夠過濾掉一些攻擊����,以免其在目標計算機上被執行��。防火墻還可以關閉不使用的端口�。而且它還能禁止特定端口的流出通信�。它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信���。一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性��,并通過過濾不安全的服務而降低風險�����。由于只有經過精心選擇的應用協議才能通過防火墻����,所以網絡環境變得更安全��。所以����,在易連科技有限公司網絡中我們選擇的防火墻是CISCO ASA5520����,能更保證網絡的安全性的要求�����。
參考文獻:
