网络安全方案篇1
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;vpn 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。2 信息系统现状2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。3 风险与需求分析3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。图2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。5.1网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(publickeyinfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。5.2 边界防护和网络的隔离 vpn(virtualprivatenetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个vpn网络的安全策略进行集中管理和配置。5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如outlook支持的s/mime(securemultipurposeinternetmailextensions),它是从pem(privacyenhancedmail)和mime(internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,s/mime将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2)安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usbkey是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usbkey内置的密码算法实现对用户身份的认证。 基于pki的usbkey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。图3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。参考文献 [1]国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
网络安全方案篇2
随着计算机技术和互联网技术的不断发展,网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾,本文就网络安全技术在企业中的应用做出研究,总结网络安全问题的解决方案。
【关键词】网络安全技术解决方案企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1网络安全技术
1.1防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜,一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2企业网络安全体系解决方案
2.1控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
[2]韩萍,蔡志立.计算机网络安全与防范[J].硅谷,2011.
网络安全方案篇3
方案说明
中心交换机:以GSm7324全千兆三层交换机作为网络的核心交换机。GSm7324是一款高性能,线速,全千兆三层交换机。该产品具有灵活的端口配置、丰富的二层交换、三层路由、服务质量管理等功能、良好的高可用性和高可靠性,为用户提供了完整而全面的智能解决方案。GSm7324具有24个10/100/1000m铜缆千兆端口,4个组合SFpGBiC光纤插槽,背板交换能力达到48Gbps,二/三层线速包转发能力为35.7mpps;最大可支持512个802.1Q的VLan、丰富的生成树协议(802.1D、802.1w、802.1S)、802.3adLaCp链路汇聚和基于DiffServQoS的端口流量限制等丰富的软件特性。
同时使用两台GSm7324可以轻易地实现冗余且互为备份的核心骨干,与边缘工作组或汇聚层交换机形成一个无单点故障的主干连接。
接入层交换机:向下通过千兆(可自由选择铜缆或光纤)连接美国网件FSm7328S和FSm7352S新一代的可堆叠,可网管安全交换机。FSm7300S系列交换机是具有强大的扩展灵活性、线速、可靠、可提供全面安全协议支持的交换机。
FSm7328S交换机可提供24个10/100m端口、4个10/100/1000m端口和4个组合SFpGBiC端口,具有高达12.8Gbps的线速背板交换能力。FSm73xxS系列交换机支持目前业界最为先进的堆叠技术,设备最多可堆叠8台,最大同时支持384个10/100m端口,16个千兆端口,堆叠后实现单一ip地址管理。
方案优势
1.分布式的三层交换架构,确保整个网络的高性能
分布式的三层交换赋予了成长型商业/企业网络所需要的最大的吞吐量和灵活性―边缘的三层交换减轻了核心三层交换机的负荷,位于堆叠组内交换机内不同VLan间的路由将直接处理转发,不再像以前设计的那样需要把全部路由集中到核心三层交换机来处理,增强了整体网络的处理性能,也分担了核心交换机的路由信息交换和查询所需的性能开销。分布式架构的第二/三层线速交换与传统架构采用高昂费用的高端三层核心交换机设计的网络相比,价格更经济,整体性能更优化。
2.先进的堆叠技术,确保整个网络的高扩展
无需增加任何成本,目前业界最优秀的堆叠技术――FSm73xxS系列交换机只要利用前面板的千兆以太网端口即可方便地实现堆叠,无需专门的堆叠线缆,亦不用作任何复杂的配置即能自动形成堆叠环,环形堆叠技术可以确保整个堆叠的高可靠性,且所有堆叠连线均可双向传输数据流;提供了适合成长型企业网络所需的扩展性和高密度,大规模的边缘百兆桌面接入。
堆叠后的交换机组可实现统一ip地址管理。整个堆叠组交换机可看作一台三层交换机进行路由和二/三层的包转发。FSm73xxS系列交换机可异型混合堆叠,最多可堆叠8台设备。另外,堆叠组的交换机还支持跨堆叠交换机的链路聚合功能,可以与两台核心GSm7324交换机之间进行链路的负载分担和互为备份。还可实现堆叠当中跨设备的多对一的端口流量镜像。
3.全局的安全控制策略,确保整个网络的高安全
核心交换机GSm7324可提供全局的访问控制策略的配置,可基于ip地址,源/目的地址,端口,协议等。aCL和QoS的增强特性可以提供基于应用流的流量限制。
FSm73xxS系列是基于硬件芯片设计的新一代具有三层功能的接入层安全工作组交换机,将服务质量(QoS)、速率限制(RatingLimiting)、多层访问控制列表(aCL),防DoS攻击以及用户访问认证(802.1x)等功能都集成到硬件芯片上,智能特性不会影响到基本二层、三层的线速转发性能。
同时,FSm73xxS系列交换机支持完整的802.1x+Radiusnetworklogin功能,配合netGeaR在中国的802.1x客户端软件及RadiusServer软件,可实现用户名与客户端ip地址,客户端maC地址,所接交换机的管理ip地址(naSipaddress),交换机端口及端口VLaniD等六大元素的绑定,为接入端安全提供更灵活的身份验证和控制手段。
4.丰富的QoS策略,确保整个网络智能地支持多种业务
方案中配置的交换机都具有功能强大的DifferServ服务质量控制功能,可以支持基于源maC地址、目的maC地址、源ip地址、目的ip地址、端口、协议的L2~L7复杂流分类,可以提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持Sp(Strictpriority)、wRR(weightedRoundRobin)模式,支持8个优先级队列,支持wReD拥塞避免算法。
网络安全方案篇4
关键词:无线传感器;安全认证;方案
中图分类号:tB
文献标识码:a
文章编号:16723198(2015)12019102
1无线传感器网络安全问题分析
无线传感器网络安全是其工作的关键,无线传感器网络的安全隐患主要包括:
(1)恶意节点攻击问题。无线传感器中的传感器节点都处在一个开放的环境中,并且以自组织的方式进行网络传输,而且这些传感器节点是没有采取任何防护措施的,而且为了提高传感器的灵活性,我们还会在传感器的节点上设置一个编程接口,这样物理层面的不安全性,为外界通过传感器节点获取重要的信息或者进行信息内容篡改提供了可乘之机。根据对传感器节点攻击的方式,我们将传感器恶意节点攻击分为外部恶意节点和内部恶意节点。外部恶意节点没有传感器其他网络节点建立信任关系。内部恶意节点就是在外界获取网络正常节点之后,其通过获取的共享秘钥等信息,对传感器网络进行攻击。
(2)信道访问的公平性问题。传感器网络中的每个信道都具有平等的机会,他们都具有传输信息的功能。因此为保证传感器网络信道的公平,我们采取maC协议来控制节点介入通道的能力,一般我们会采取退避算法进行公平布置通道公平问题,但是这样一来我们就需要面对这样一个现实问题:当每个通道节点都采取了退避算法之后,每个节点的退避时间都减小到0,那么一来就会造成各个通道又发生冲突的可能。因此采取何种退避算法是保证信道公平的最大问题。
(3)节点移动的影响。节点是不断移动的,节点的移动必然会造成网络拓扑结构的变化,而这些变化需要网络路由协议作出相应的变化。同时移动节点也会对信道接入协议产生影响,但是根据相关文献研究,节点移动对无线传感器网络的影响是忽略不计的。
由上述可知,由于无线传感器网络的特性,使得它们面临的安全隐患不同,因此本文从安全认证技术和网络体系结构入手,针对已有的认证技术和maC协议进行改进,提出一种新的安全策略。
2当前无线传感器网络安全认证方案的现状
安全认证是无线传感器网路运行的关键技术,当前对无线传感器的安全认证主要是通过KDC的方案以及相邻传感器之间的密钥交换实现的。
2.1基于对称密码体制的认证方案
由于在传感器网络中,节点的能量是比较有限的,因此采取对称密码体制的计算要远远小于非对称密码体制的计算,因此从节约资源角度出发,我们应该选择对称密码体制。对称密码体制认证方案主要有e―G方案。矩阵密钥预分配方案、基于多项式的密钥分配方案。这些方案基本上都具有相同的思路:都是通过某种方法,使得相邻节点之前建立共享密钥,在节点之间形成相互认证。
2.2基于非对称密码体制的认证方案
随着网络技术的不断发展以及人们研究层次的加深,人们已经逐渐的将非对称密码体制应用于无线传感器网络认证体系中,之所以选择非对称密码体制认证主要是因为非对称密码体制的安全性要高,对非对称密码体制认证的方案目前主要集中在:基于RSa算法的tinypK实体认证方案、基于eCC加密的强用户认证方案以及基于身份标识的认证方案。
2.3分布式安全认证方案
分布式安全认证方案是由Bauer在2005年首次提出来的,其采取的主要是秘密共享和组群同意的密码学概念,该方案的制定思路是:初始化。传感器网络被假设为每个节点都有一个前向节点和后续节点,在节点被应用到具体的环境中之前,系统会给每个节点一个唯一编号,并且告知其相应的信息,这个信息是该节点独自掌握的;密码分割。秘密分割主要是在节点需要认证时,系统会将部分信息以分割的方式传递给需要认证的节点;身份认证。说的通俗点就是在节点需要认证时需要将系统进行身份认证,如果系统信息与节点自身的信息向符合,那么节点就会被认可。
综合上述的无线传感器网络安全认证方案,其主要采取的基于密钥管理的模式来解决节点的身份认证问题,这样的方案需要服务器进行集中、同步机制,这样在进行运行时由于通信量比较大,很容易造成安全问题,而且这些认证方案只能对外部恶意节点攻击进行防范,而不能处理内部节点的恶意攻击,因此该方案中的某个节点一旦被外界所俘获,那么这个节点的密钥也就被其所掌握的,进而会对整个网络通信安全构成威胁。因此本文从传感器行为的空间相关性和时间相关性入手,提出基于可信的wSn认证技术。
3基于可信的无线传感器网络认证方案
3.1网络可信技术
网络可信是当前计算机网络安全研究领域的热门话题,网络可信技术是在原来网络安全技术的基础上增加行为可信安全的新方法。网络可信技术就是在网路在给网络运行设定目标时,如果该行为是可以预期的,那么该网络实体就是可信的。网络可信主要是从以下四个方面阐述的:一是对用户的身份进行唯一性认证;二是网络平台软件、硬件配置是正确的;三是应用程序的完整性和合法性;四是网络环境下平台之间的相互信任性。
3.2节点行为信任模型的构建
信任模型就是无线传感器通过本身的节点与其它节点相互交往建立的量化的评价体系。信任模型本质上属于节点的实际物理属性和行为的一个综合能力的反映。在可信无线传感器网络认证方案中节点的可信度是整个方案的核心技术,因此对节点的可信度的度量就显得格外的重要。我们可以采取以下度量方法:一是根据节点进行身份认证时获得的信息进行计算。二是通过预测节访问对象的序列来计算;三是根据节点在享受内网时表现出来的属性进行计算。
3.3基于可信的无线传感器网络认证方案
由于无线传感器主要是通过传感器内的节点进行工作,因此在某种意义上,传感器节点之间存在很大的关联性,因此我们可以借助该特点对当前的传感器节点进行信任度的计算。设无线传感器网络中参与认证的传感器集合为S=(51,S:,,,S″),zi(k)表示k时刻传感器51的输出″系统状态方程和输出方程如下:
这里Φ(k)、G(k)、H(k)分别表示状态转移矩阵、过程噪声分布矩阵及输出矩阵;v(k)和w(k)分别表示具有零均值和正定协方差矩阵的高斯噪声向量。
根据上述公式,传感器的算法主要体现在以下流程:将无线传感器网络安全认证与行为信任相结合,强化对网络节点行为可信的动态处理。具体表现在传感器网络中的簇透对内部节点行为进行安全认证,路由节点的下一跳节点对上一跳节点进行安全认证。首先是簇头对节点进行信任等级授权,如果某节点的信任等级不信任,那么系统就会丢弃该节点输出的信息或者将其断开与网络的连接,以此保证无线传感器网络的安全。
基于行为可信的认证算法基本思想是:将现有认证机制与行为信任相结合,强化对网络节点行为可信的动态处理。算法的具体实现过程主要分为:一是簇头首先对簇内的节点进行身份认证,该身份认证主要是根据网络部署时所设置的密钥管理进行,一旦密钥失效,那么簇头就会将传感器设定为false,传感器网络就会拒绝该节点的访问。二是进行安全认证的节点会与周围的节点进行信息交换,并且根据交换的信息计算密钥认证通过节点的信任度,如果计算出来的数值小于无线传感器网络安全值时,那么无线传感器的状态就是false.就会被系统所拒绝访问,相反,则系统就允许其运行。
4结束语
无线传感器网络是由一系列传感器节点组成的,以无线adhoc形式进行通信的网络由于无线传感器网络一般都应用在无人值守的恶劣环境区域中,极易受到外界的干扰,所以无线传感器网络的安全是主要关注的问题,针对这种网络特性,本文在现有的安全认证的基础上加入了可信计算的思想,解决了已有的研究大多是基于密钥的身份认证,不能处理节点错误行为的安全认证问题,同时为了更好地实现这一机制,还对wSn的maC协议、S-maC协议进行了研究,并结合t-maC协议对其进行了改进。
参考文献
网络安全方案篇5
学校国家网络安全宣传周活动方案为贯彻落实《国家网络安全宣传周活动方案》和中央网信办《2019年国家网络安全宣传周活动实施方案》,配合办好2019年国家网络安全宣传周活动,根据平度市委宣传部要求,结合正在组织开展的青岛市中小学“共筑网络安全共享网络文明”安全教育活动,特制定本实施方案。
一、时间和主题
时间:9月19日至25日
主题:网络安全为人民,网络安全靠人民
宣传周活动重点内容是,深入学习贯彻xx重要讲话、重要批示精神和总体国家安全观,通过网站、电视、电台、报刊杂志、会议、展览等多种渠道和形式,通过全体网民的广泛参与,大力宣传倡导依法文明上网,增强全社会网络安全意识,普及网络安全知识,营造健康文明的网络环境,维护网络安全。
二、主要活动安排
(一)主题日活动
根据中央网信办统一部署,宣传周活动期间,分别组织开展主题日活动:9月20日教育日、9月21日电信日、9月22日法制日、9月23日金融日、9月24日青少年日、9月25日公益宣传日。
(二)具体活动要求
各中小学校要结合青岛市“共筑网络安全共享网络文明”安全教育活动的组织开展,通过组织主题班会、家长会、教师会等形式,通过学校网站、学校教师和班级家长微信群等途径,利用学校的班班通设施结合微机课等方面,在广大学生、家长、教师中开展网络安全知识专题教育。加强与网信、公安等部门协作,探索建立网络安全教育长效机制,完善网络安全教育工作体系。
1.各学校和教体局机关要在9月16日之前完成网络安全宣传周主形象海报的制作,并在学校宣传栏、微机教室等特殊场地醒目位置进行张贴宣传,营造良好的宣传氛围。
2.各学校要认真组织部署工作要求,通过组织主题班会等形式,教体局通过办公室组织机关工作会议,利用学校班班通设备、多媒体、网站等,广泛宣传网络安全口号标语、卡通漫画,播放收看附件中的安全教育视频和平度市“共筑网络安全共享网络文明”安全教育活动推进会报告。
3.各学校要与已经开展的青岛市“共筑网络安全共享网络文明”活动融合在一起,通过已经组建完成的各类宣传渠道以及通过公安微博、微信群等形式积极转发打击网络违法犯罪典型案例、推送公益广告、发送宣传教育材料等,通过线上、线下多渠道、多形式充分发挥团委、少先队的作用,广泛组织集中开展主题宣传教育活动。
4.结合2019国家网络安全宣传周活动安排,各学校要积极组织学生、教师观看科普视频、研讨交流、争当网络安全宣传员监督员以及开展新媒体主题宣传等活动,在青少年中广泛开展网络安全宣传教育。
5.各校要了解省级部门活动安排的时间节点,积极组织学习并参与。9月19日至25日,在山东共青团官方微博开设话题#青少年与网络安全#,加强与青少年网民互动。积极组织全省高中学生参加网络安全知识竞赛,选拔优秀人才赴湖北武汉参加全国中学生网络安全夏令营暨知识竞赛全国复赛。联合大众网、齐鲁网开展网络安全公益广告有奖征集活动。9月24日,组织全省青少年在线观看湖北武汉市“青少年日”主场活动直播、与演讲嘉宾远程互动等。9月19日至25日宣传周期间,省重点新闻网站在pC端首页显著位置和移动端首屏统一开设“2019年国家网络安全宣传周活动”专题,对我省各有关部门活动情况和现场宣传进行采访报道,转发中央新闻网站关于国家网络安全宣传周武汉开幕式相关报道和现场视频,集纳展示网络安全宣传公益广告、图片、动漫等各类相关作品,在论坛、微博等平台主动设置“网络安全”相关议题、话题,利用手机报推送有关稿件、视频和H5作品。大众网联合山东艺术学院制作动漫作品;9月1日至9月30日开展网络公益广告征集活动;9月12日至9月25日开展网络安全在线答题活动;邀请相关领导、专家、学者开展视频访谈。齐鲁网推出“一图教你如何安全上网”漫画;制作“文明上网”系列公益广告;组织小记者探营网络安全公益活动。舜网组织《新闻调查——网络暴力离我有多远》系列视频街访等采访报道;携手17市网媒联动倡议建立“反对网络暴力”网媒接力联盟。中华泰山网开设网络安全课堂,邀请教育、公安、团委、通讯等部门单位的专家授课。水母网开设网络金融安全知识在线答题栏目。
三、组织协调
教体局信息中心负责组织协调我市中小学校和教体局机关网络安全宣传周活动。宣传办协助做好宣传周活动的宣传报道工作。
网络安全方案篇6
关键词:校园网络;安全防范;设计方案
0引言
目前,校园网计算机技术已经在学校教学中起到十分重要的作用。但其安全隐患却无处不在,人为方面的因素主要体现为管理制度上的缺失,操作上的不合理等。为了解决这一问题,文章提出了具体的校园网安全防护措施如下。
1校园网安全威胁因素
校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系ip被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。
2校园网络安全防范设计方案
为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及Vpn的构建。具体过程如下:
2.1利用备份链路优化校园网的容错能力备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。
2.2计算机防火墙的合理应用计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则aCL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3Vpn的构建Vpn主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建Vpn系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的Vpn系统连接,提高安全防护效率。
2.4网络层其他安全技术网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:maC攻击、DHCp攻击、aRp攻击、ip/maC欺骗攻击、Stp攻击、ip扫描攻击和网络设备管理安全。
3校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLan技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:
3.1应用VLan技术提升网络安全性能VLan技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLan可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。
3.2利用网络存储技术,确保网络数据信息安全校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DaS、RaiD和naS等。
3.3配置交换机端口控制非法网络接入交换机端口安全可从限制接入端口的最大连接数、ip地址与接入的maC地址来实现安全配置。对学生由于好奇而修改ip地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4总结
校园网在为教学提供方便的同时,其安全也值得重视。基于校园网安全防护的复杂性和科技的快速发展,其安全防范技术也逐渐增强。本文提出了校园网网络安全防范方案其中主要研究了计算机系统的防病毒处理。取得了一定的效果,但具有一定的问题需要解决。其中包括检测与防护之间的联动如何实现,防护策略如何更新等。校园网的安全防护对于计算机网络的整体安全具有十分重要的作用,实现这一系统安全是教学中的主要任务。虽然很多学校开始重视互联网的安全防护,构建了较为完善的防护制度,出台了具体的防护措施。但计算机黑客攻击时刻存在,并且病毒对计算机造成的毁坏越来越大,如何构建一套积极可行的校园网安全防护手段是学校计算机管理人员的主要任务。
参考文献:
[1]陈显亭,贾晓飞.网络出口转换技术研究[J].电子科技,2010,23(12):77-79.
网络安全方案篇7
[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。www.133229.Com特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光s锁产品,“紫光s锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光s锁的内部集成了包括中央处理器(cpu)、加密运算协处理器(cau)、只读存储器(rom),随机存储器(ram)、电可擦除可编程只读存储器(e2prom)等,以及固化在rom内部的芯片操作系统cos(chipoperatingsystem)、硬件id号、各种密钥和加密算法等。紫光s锁采用了通过中国人民银行认证的smartcos,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对s锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装imss。
(1)邮件防毒。采用趋势科技的scanmailfornotes。该产品可以和domino的群件服务器无缝相结合并内嵌到notes的数据库中,可防止病毒入侵到lotuenotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何notes工作站或web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。scanmail是notesdominoserver使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的serverprotect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的officescan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受windows域管理模式的约束,除支持sms,登录域脚本,共享安装以外,还支持纯web的部署方式。
(4)集中控管tvcs。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,tvcs在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
sjw-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控ras连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、ip地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获hostsensorprogram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控ras连接:在用户指定的时间段内,记录所有的ras连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:tcp,udp,netbios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统ids
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择ids探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描i型联动型产品。i型联动型产品适用于该内网这样的高端用户,i型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用i型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和ids、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多ip地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多ip地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描ii型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
参考文献:
[1]吴若松:新的网络威胁无处不在[j].信息安全与通信保密,2005年12期
网络安全方案篇8
关键词:ip专用网络;网络安全;系统
1概述
近年来ip网络不断发展,资源共享给军事、政治和经济等领域带来了不尽的方便与快捷。在网上可以随时索取所需资料,可以传送电子邮件,还可以网上购物等等。然而当计算机遭受“黑客”图谋不轨的恶意攻击时,你会发现部分数据已被窃取、修改和破坏,ip网络背后存在的安全隐患也就将暴露无疑。随着ip网络系统和数据等安全问题的出现,引起计算机领域、通信领域以及相关领域的重视。
2ip专用网络系统安全需求分析
2.1ip专用网络系统应用特点
根据ip专用网络的使用实际,主要网络应用有实时数据传输、语音信息传输处理、视频信息传输处理、多媒体信息传输处理和由数据库作后台支持的miS应用系统等。尽管各种网络应用千差万变,但应用主体在网络中扮演的角色是一致的。网络应用中有两种重要的角色:客户与服务器。而网络的信息流向不外乎以下三种方式:客户与客户之间;客户与服务器之间;服务器与服务器之间。ip专用网络系统应用形式是第二、三种结合。
2.2ip专用网络系统安全需求
无论信息传递的收、发方是谁,网络安全包括:在网络正常运行时,受到外来攻击,能够保证网络系统继续运行。网络管理系统设置等重要资料不被破坏。数据安全保证数据不被窃取、修改和破坏。具有先进的入侵防范体系,对于图谋不轨的恶意行为能够及时发现、记录和跟踪。访问控制和身份认证机制,确保应用系统不被非法访问。保障合法用户的正常请求得到安全服务,防范来自网络内部其它系统的破坏所造成的安全隐患。系统和数据在遭到破坏时能够及时恢复。
2.3ip专用网络系统安全的功能
建立ip专用网络系统安全体系应具备加密通讯、签名/认证、备份/恢复、多层防御、内部信息加密、安全审计等功能。
3ip专用网络系统安全方案设计
3.1安全系统总体结构
从提供网络有效信息服务的角度来看,网络系统安全包括:硬件配置及基础设施应确保支持系统的不间断运行;软硬件运行环境应确保系统正确、可靠运行。从网络系统组成的角度来看,系统安全可分为五个层次:物理层的硬件平台安全、系统层的操作系统和数据库系统安全、网络层的网络系统安全、应用层的应用系统安全和管理层的系统安全管理。
3.2物理层安全
硬件平台的安全主要是支持软件系统正确、可靠运行,同时又要防止物理上可能造成的信息泄露。无线信道必须采取加密手段;外网连接必须采用硬件防火墙设备;选用符合电磁兼容性等要求的ip专用网络设备;机房建设应符合电磁兼容性要求。
3.3系统层安全
网络操作系统安全是防止系统在正常运行状态下遭受破坏;数据库系统安全主要保护以库结构形式存放的数据,防止非授权用户以各种非法途径获取,并确保数据库系统运行正常。
建立用户权限认证体系,健全系统访问日志,提供有效的监督机制。用户权限认证属于网络层的安全策略。系统管理员负责监督管理所有系统资源的分配、控制,分配不同级别的用户权限,进行数据库的备份与恢复;系统工程师负责操作系统中的所有设置和网络参数;系统操作员负责操作系统中的部分设置和网络参数;只读用户只能监视系统中的设备状态。
系统内部安全防范也可采用先进的具有中国版权的指纹识别系统,指纹识别系统采用活体指纹实行密码登录,确保系统安全,它与口令双重加密,更无懈可击。
3.4网络层安全
网络隐患扫描是在非法入侵之前,帮助系统管理员主动对网络上的设备进行安全测试。外部扫描是模拟黑客攻击的过程在网络上进行扫描,并分析扫描信息,结合不断更新的漏洞库来发现网络存在的隐患;内部扫描是模拟系统管理员从主机内部扫描,检查一切和网络安全有关的配置是否正确,从而从内部清除隐患。入侵检测系统用来检查一个局域网段上的通信,可以和防火墙设备配合来监测来自外部的通信;可以监测内部网络用户对于敏感数据或应用系统的使用情况。当发现可疑行为时,网络监测预警系统能够根据系统安全策略做出反应,实时报警、事件登录、自动阻断通信连接或执行其它有效安全策略。
3.5应用层安全
应用层安全策略可采用防止病毒侵害手段,建立完整的防病毒体系。如在网络管理系统环境,购买并安装nortonantivirus或其他国产网络防杀病毒软件。为保护主机端数据的完整性,也采用有效的数据备份及恢复系统。
3.6管理层安全
制定相应的管理制度和操作规范:制定机房管理制度、系统管理员职责、机房值班员守则、数据库管理规定及网络安全管理规范等;制定严格的操作规程,明确各级人员职责和权限,各负其责,不允许超越自己的管辖范围;制定完备的系统运行维护制度;强化各类人员的安全意识,严格按照有关规定办事。
4结束语
ip专用网络安全的需求分析必须切合实际,网络安全设计的目标和原则要合理可行,ip专用网络安全方案的设计方法适合其它类型网络的安全设计。全面的安全策略需要投入大量的软、硬件设备,付出可观的资金。根据ip专用网的实际需求和经费支持情况,可以适当采用方案中的部分安全策略,达到理想的安全防范目的。
参考文献
网络安全方案篇9
关键词:计算机;网络安全;解决方案
中图分类号:tp393文献标识码:a文章编号:1009-3044(2012)05-1065-02
1概述
对计算机网络安全产生威胁的因素成千上万,因此针对这些因素来保护计算机网络安全的手段也是错综复杂。一般来讲,对计算机网络安全起保护作用的技术主要有入侵检测技术、防火墙技术、防病毒技术、加密技术、安全评估技术以及身份认证技术等。为了充分保障网络完全,就必须要结合网络的实际情况以及实际需要,将各种措施进行有效地整合以建立起一个完善的、立体的以及多层次的维护网络安全的防御体系。有一个全方位多面的网络完全解决方法才能从各个方面来保障计算机网络的各种安全问题。
在网络系统中,依据网络拓扑结构以及对各种风险进行的分析,通常采取以下措施来全方位地保障计算机网络完全:
1)身份鉴定:对具有合法身份的用户进行鉴定。
2)病毒防护:进行杀毒以防止病毒入侵。
3)安全审计:实时监控网络安全以及时发现网络上的异常动态,忠实地记录网络所发生的违规行为或是网络入侵行为以为日后提供证据。
4)信息加密:对信息进行加密以防止传输信息线路上的泄漏、窃听、破坏以及篡改。
5)入侵检测:通过利用各种方式来对计算机系统或是网络的信息数据进行收集由此来发现计算机系统或是网络中是否存在威胁安全的行为或是被攻击的痕迹。一旦发现异常情况的存在就回去自动地发出警报并提示采取相应的解决方式。与此同时,自动记录了受攻击的过程,为计算机系统或是网络的恢复以及追查来源提供依据。
6)访问控制:对操作用户的文件或是数据的权限进行控制或是限制,以避免其他用户越权访问。
7)安全保密管理措施:这是维护计算机网络安全的重要组成部分。及时对已经有较全面的安全保密措施,仍然需要充分的管理力度以防止出现安全隐患。
8)漏洞扫描:进行漏洞扫描来对计算机网络所存在的安全隐患进行全面地检查,协助管理员发现安全漏洞。
2计算机网络安全解决方案
2.1动态口令式身份认证方案
动态口令来进行身份认证具备动态性、随机性、不可逆性以及一次性的特点。这种方式不仅保留了原有静态式方法的方便性特点,同时也很好地对静态式口令方式的各种缺陷进行了弥补。动态口令方式在国际公开密码的算法基础上衍生动态口令,并经过几十次的非线性式的迭代运算完成了密钥与时间参数的充分混合与扩散。在这个基础上,利用解密流程以及先进的身份认证与密钥管理方法来从整体上保障计算机网络系统的安全。
2.1.1动态口令式系统的抗实物解剖力
动态口令方式采用了加密式的数据处理器,对企图利用结算法程序从网络中读出的行为能进行有效地防止,具备较高的抗实物解剖能力。除此之外,在初始化中随时生成的每个用户的密钥也是不相同的,密钥与口令生成有关的信息同时存储在动态Ram中。一旦有人对其进行分析处理,处理过程一旦掉电,密钥就会消失。就算有人破解了其中的程序也因不知道客户的密钥而无法计算出客户的实时口令。
2.1.2动态口令式的抗截获能力
在动态口令系统中,每个正确的口令都只能使用一次。因此客户不用担心口令会在认证期间被第三方知道。所以正确的口令一旦在认证服务器上被认证后就会在数据库中留下记录。
2.1.3系统的安全数据库加密与密钥管理
用户的信息以及用户密钥都存在安全数据库。安全数据库的信息一旦被泄漏,将会使得第三者有合法的身份进行操作,因此这里的数据是要求绝对保密的。通常我们队安全数据库进行加密后在放在服务器上,不能以明码的形式出现。安全数据库的主密钥存储在计算机网络系统维护员的iC卡上,因此只有掌握了系统维护员iC卡的人才能对安全数据库的数据进行操作。。如果没有数据安全库的密钥,即使接触到了服务器,也不能获得用户的密钥。
2.1.4动态口令式的抗穷举攻击力
破解口令的常用的攻击手段是穷举攻击。穷举攻击手段能够大量地频繁地对每一个用户的口令进行反复的认证。正对这一攻击手段,动态口令身份认证系统在每个用户每个时段的认证结构都进行日志记录。一旦发现用户的认证信息多次验证失败时系统就会自动锁住该用户的认证行为。这样就能很好地防止穷举攻击的攻击可能性。
2.2信息加密方案
加密手段是维护网络安全的一个极其重要的手段。它的设计理念就是网络既然本身就是不安全的,那么就应该对所有重要的信息进行加密处理。对信息进行加密是为了达到保护网络内的文件、数据、口令以及控制信息的目的,以保证网络安全的全面性与完整性。
网络加密可以在应用级、链路级以及网络级等进行。对信息加密要通过各式各样的加密算法来进行。据初步统计,到目前为止,已开发出来的加密算有已经有几百种了。通常加密算法可以分为不对称即公钥密码算法与对称即私钥密码算法。
网络密码机是在Vpn技术的基础上所出现的一种网络安全设施。Vpn即虚拟专用网是指以公用网络作为传输媒体,通过验证网络流量以及加密的方式来保证公用网络上所传输的信息的安全性,保证私人信息不被篡改与窃取。网络密码机采用专门的的硬件来加密与保护局域网数据的安全性。所以具有极高的网络性能与安全强度。
2.3防火墙系统对访问的控制能力
目前最为广泛使用与流行的计算机网络安全技术是防火墙技术。它的中心思想是就算是在安全性较低的网络环境中也要构建出安全性相对较高的子网环境出来。防火墙技术用于执行两个网络中的访问控制,它能够对保护对象的网络与互联网或是其它网络之间的传递操作、信息存取进行限制。它是一种隔离式的控制技术,可以用作网络安全域或是不同网络之间的信息出入口,能依据企业的安全方法对进出网络的信息数据进行控制。防火墙本身就具有强大的抗攻击能力。
防火墙技术包括:服务器型、包过滤型以及全状态包过滤型。防火墙的使用范围非常灵活,可以在以太网上的任何部位进行分割,以构建出安全网络单位,也可以在单位的内网与外界的广域网从出口上进行划分,以保护单位内网,构建局部的安全网络范围。
利用防火墙设置安全策略来加强保护服务器,必要时还要启用防火墙的nat功能来隐藏网络的拓扑结构,利用日志记录来监控非法访问。采用防火墙和入侵检测联合功能来形成动态的相适应的安全保护平台。
防火墙依据系统管理者的设置安全选项来保护内部网络,通过高效能的网络核心来进行访问控制,与此同时,提供信息过滤、网络地址转换、内容过滤、带宽管理、服务、用户身份认证、流量控制等功能。
3结束语
随着现代网络信息技术的不断普及以及在各个领域的广泛使用,计算机网络安全也成为了影响网络效能的重要因素。人们对计算机的使用程度也使得网络安全问题变得格外重要。面对目前所存在的大量网络安全问题,为了广大用户的隐私保护与安全着想。我们有必要加强对网络安全措施的研究。
参考文献:
[1]林廷劈.网络安全策略[J].三明高等专科学校学报,2002,15(4).
[2]刘远生.计算机网络安全[m].北京:清华大学出版社,2006.
[3]仇剑锋,蔡自兴.信息网络安全设计策略[J].中国科技,2003,16(8).
网络安全方案篇10
为妥善应对和处置我区重要信息系统突发事件,确保重要信息系统安全、稳定、持续运行,防止造成重大损失和影响,进一步提高网络与信息系统应急保障能力,特制定本演练方案:
一、指导思想
以维护我区重要业务系统网络及设备的正常运行为宗旨。按照“预防为主,积极处置”的原则,进一步完善XX区政府信息办应急处置机制,提高突发事件的应急处置能力。
二、组织机构
(一)应急演练指挥部:
总指挥:XX
成员:XX
职责:负责信息系统突发事件应急演练的指挥、组织协调和过程控制;向上级部门报告应急演练进展情况和总结报告,确保演练工作达到预期目的。
(二)应急演练工作组
组长:XX
成员:XX
职责:负责信息系统突发事件应急演练的具体工作;对信息系统突发事件应急演练业务影响情况进行分析和评估;收集分析信息系统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报告应急演练进展情况和事态发展情况。做好后勤保障工,提供应急演练所需人力和物力等资源;做好秩序维护、安全保障支援等工作;建立与电力、通讯、公安等相关外部机构的应急演练协调机制和应急演练联动机制;其它为降低事件负面影响或损失提供的应急支持保障等。
三、演练方案
(一)演练时间
2020年12月5日18时——21时举行应急演练,全办工作人员参加。
(二)演练内容:
1、网络通信线路故障及排除;
2、电力故障及排除;
3、机房温度过高报警;
(三)演练的目的:
突发事件应急演练以提高区政府信息办应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。
四、演练的准备阶段
(一)学习教育。
组织学习《XX区信息办网络安全管理制度》、《XX区信息办网络和信息安全事件应急处置和报告制度》、《XX区政务网及政府网站突发事件应急预案》、《XX区人民政府电子政务机房管理制度》,提高工作人员对于突发事件的应急处置意识;熟悉在突发事件中各自的职责和任务,保证业务的正常开展。
(二)下发《网络安全应急演练实施方案》;
(三)演练指挥部全面负责各项准备工作的协调与筹划。
明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果。
(四)应急演练组要提前在中心机房要做好充分准备,在演练前一天准备好所有应急需要联系的电话号码,检查供电线路,计划好断电点,演练时掐断电源,模拟供电故障;
并按演练背景做好其它准备。
五、应急演练阶段
(一)请我办信息安全员,讲解演练知识及演练过程中的注意事项,并与其他相关同事一起温习应急预案。
(二)按照预定发生突发事故的时间表,总指挥逐项发出演练通知;
(三)参与部门及人员。
区政府信息办全体员工都要参加,把演练当成实战,认真对待。
(四)演练的事项
1、2020年12月5日18时,发现网络不通,立即报告至网络管理员,网络管理员立即将此情况报告应急演练指挥部。指挥部启动相关应急预案并组织人员进行故障排除,网络故障排除后,网络恢复正常。
2、2020年12月5日19时,在没有接到任何通知的情况下,突然遭遇不知原因的停电,备用电源无法自启动,所有设备陷入瘫痪状态。办公室立即将此情况报告应急演练指挥部。指挥部启动相关应急预案并组织人员对备用电源进行抢修,同时联系供电部门进行维修与排除。
3、2020年12月5日20时,由于空调损坏,导致中心机房温度过高报警,机房管理员立即将此情况上报至应急指挥部,指挥部启动相关应急预案并组织人员进行判断与排除。查明原因后立即打开机房通风备用设备降温,以保证机房设备正常运转,同时通知精密空调维保人员上门维护。
六、演练要求:
1、加强领导,确保演练工作达到预期目的。在指挥部的统一部署下,全体工作人员要高度重视,提高认识,积极参加,确保演练效果。