网络安全核心技术篇1
关键词:网络安全;防火墙;pKi技术
中图分类号:tp393.08文献标识码:a文章编号:1007-9599(2010)05-0000-01
UnderstandingofCorenetworkSecuritytechnology
ChenYonggang
(HeilongjiangFrontierCorpsHeadquarters,CommunicationtechnologyDepartment,Harbin150000,China)
abstract:inthisarticle,itisinstructionofthreefirewalltechnologies,andanalysistheencryptionofinformationexchangeandtheRSaencryptionalgorithm.anddescribesthecomponentsofsecurityarchitecturebasedonpKi,whichisthecoreoftheinformationsecuritytechnology.
Keywords:networksecurity;Firewall;pKitechnology
一、引言
在众多影响防火墙安全性能的因素中,有些是管理人员可以控制的,但是有些却是在选择了防火墙之后便无法改变的特性,其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为:封包过滤型(packetFilter)、封包检验型(StatefulinspectionpacketFilter)以及应用层闸通道型(applicationGateway)。这三种技术分别在安全性或效能上有其特点,不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。本文针对防火墙这三种技术进行说明,并比较各种方式的特色以及可能带来的安全风险或效能损失。
二、防火墙技术
包封过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地ip、使用协定、tCp或UDp的port等信息进行控制管理。现在的路由器、SwitchRouter以及某些操作系统已经具有用packetFilter控制的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。
封包检验型防火墙在检查不完全的情况下,可能会造成问题。去年被公布的有关Firewall-1的FastmodetCpFragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。
应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的程序,或用一个一般用途的程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。
防火墙是为保护安全性而设计的,安全应是其主要考虑。因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的安全保护。
三、加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
(一)对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有n个交换对象,那么他就要维护n个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DeS是DeS(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
(二)非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSa公钥密码体制。
(三)RSa算法
RSa算法是Rivest、Shamir和adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSa体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSa算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1{mod(p-1)(q-1)}
加密:c=me(modn),其中m为明文,c为密文。
解密:m=cd(modn)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
四、pKi技术
pKi(publieKeyinfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。pKi技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而pKi技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的pKi体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(Ca)、注册机构(Ra)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
(一)认证机构
Ca(Certificationauthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由Ca签发的网络用户电子身份证明―证书,任何相信该Ca的人,按照第三方信任原则,也都应当相信持有证明的该用户。Ca也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的Ca是至关重要的,这不仅与密码学有关系,而且与整个pKi系统的构架和模型有关。此外,灵活也是Ca能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的Ca产品兼容。
(二)注册机构
Ra(Registrationauthorty)是用户和Ca的接口,它所获得的用户标识的准确性是Ca颁发证书的基础。Ra不仅要支持面对面的登记,也必须支持远程登记。要确保整个pKi系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的Ra系统。
网络安全核心技术篇2
关健词:eudemon200防火墙;技术网;oa网;VLan
中图分类号:tp393文献标识码:a文章编号:1009-3044(2012)10-2193-04
2007年5月,641台信息化小组按局信息办制定的规范独立自主地完成了台站局域网的建设。641台局域网分为oa网和技术网两个部分。641台oa网通过专用的2m电信线路连接至无线局,oa网下联技术网。oa网与技术网之间按局信息办的规范要求应采用“网闸”进行隔离,但由于客观原因,并没有进行实施,只是在核心交换机S6503采用安全访问控制列表的方式简单地对台站技术网进行隔离,这样oa网与技术网之间没有任何网络安全产品,技术网完全暴露在oa网下,各发射机控制系统很容易受到攻击、病毒入侵,甚至受控制,网络安全将直接关系到安全播音。2009年10月,太极公司将在我台部署技术业务管理系统和运行管理系统,从安全的角度考虑,台站的生产业务和日常办公业务分别位于技术网和办公网中,两网之间应采用防火墙作为安全隔离设备,以避免办公网上的非业务人员进入技术网。这种隔离,也使得各类人员都可以专注于自己专项的业务,提高工作效率。由于当时oa网防火墙改用启明星辰的USG防火墙(多功能网关)替换下eudemon200防火墙,为进一步规范我台技术网,完善641台技术网的建设,结合一台oa网与技术网现状,参照局信息办制定的《全局网络建设要求V1.0(修订稿)》,我们重新规划技术网网络拓朴结构(如图2示),在办公网核心交换机和技术网核心交换区之间增加一台eudemon200防火墙,防火墙配置ip地址和技术网/办公网核心交换机相连,通过静态路由实现网络连通,配置安全策略,对办公网和技术网进行安全访问限制。并在技术网核心交换机上划分VLan隔离安全播出业务,包括管理VLan、服务器VLan、中波发射机房vlan、短波发射机房VLan、电力运行室VLan等,并在交换机的业务网段过滤掉一些病毒、恶意软件使用的端口,实现对oa网和技术网进行安全访问限制。具体实施如下:
为了满足应用系统安全性考虑,在oa网核心交换机和技术网核心交换区之间增加一台eudemon200防火墙,重新规划技术网网络拓扑结构后,实现与oa网隔离,通过采取各种安全措施从而防范来自广域网和台内oa网的恶意攻击,同时控制技术网内部网络对广域网和台内oa网的访问,因此在oa网核心交换机和技术网核心交换机之间增加一台eudemon200防火墙,重新规划技术网网络拓扑结构,根据我台的实际情况从以下几个方面实现对办公网和技术网进行安全访问限制。
1641台技术网逻辑设计
1.1技术网ip地址和VLan设计
641台技术网按照全局统一ip地址管理规则进行ip地址管理和分配,遵循ip地址编址的基本原则:唯一性、连续性,可扩充性和可管理性。根据自台的网络状况并考虑到将来的扩展,设计VLan划分方案如下表1。
表1
1.2办公网和技术网隔离结构设计
oa网和技术网的互联采用静态路由协议,在oa网S6503核心交换机、技术网eudemon200防火墙和技术网S3952-ei交换机上分别指定去往各网的静态路由,在oa网和技术网的边缘采用oSpF重分布(Routeimport)的方式将去往技术网的静态路由到oSpF中。台技术网网段通过eudemon200防火墙和办公网互联,只有特定的通讯服务器可以进行数据交换,禁止其他通讯;台技术网网段只在本台技术网有效,禁止在本台办公网和广域网路由。
图1
1.3技术网网络安全
a.通过路由协议设置,限制广域网无法访问台站技术网;
b.通过技术网防火墙,限制只有本台特定的通讯服务器可以和技术网特定服务器进行数据交换,并保障台站办公网无法访问技术网;
c.在技术网建立虚拟局域网。通过VLan的划分隔离安全播出业务;
d.基于用户定义的策略,建立访问控制列表,控制技术网内业务之间的互访。
e.通过对连接应用的交换机端口添加aCL策略来限制可以访问的用户,也可以采用单向访问列表的方式允许一个网段或一段地址访问其他地址,但其他地址不能访问这个网段。
f.办公网的某特定pC用户要访问技术网需通过l2tpvpn拔号接入。
2技术网网络规划与网络设备安全策略的实施
为了满足安全性考虑,在办公网核心交换机和技术网核心交换区之间增加一台eudemon200防火墙,重新规划技术网网络拓扑结构如图(2),实现与oa网隔离,通过采取各种安全措施从而防范来自广域网和台内oa网的恶意攻击,同时控制技术网内部网络对广域网和台内oa网的访问,因此在防火墙设备引入安全域的概念,引入这个概念后,安全策略的配置就要方便多了。根据我台的实际情况以及对网络规划的需求,通过分析,从以下几个方面满足我台技术网对网络安全性的要求:
图2
图3
表2具体实现的措施
表3
配置技术网交换机网络设备管理地址网段为172.200.52.0/24,网络管理员可以在oa网采用l2tpvpn方式拔入安全进入技术网,才能对技术网内的交换机进行teLnet连接和登陆设备,还有在技术网S3952-ei核心交换机上将同一部门的计算机划分至同一个逻辑子网,然后再根据不同部门的地理位置分配不同的子网ip地址和子网掩码。为了保证网络的安全,在技术网核心交换机S3952-ei上的业务网段过滤掉一些病毒、恶意软件使用的端口。访问控制列表配置如下:
aclnumber3001match-orderauto
rule0denytcpdestination-porteq6881
rule1denytcpdestination-porteq6882
rule2denyudpdestination-porteq6883
rule3denytcpdestination-porteq6884
rule4denyudpdestination-porteq6885
rule5denytcpdestination-porteq6886
rule6denyudpdestination-porteq6887
rule7denytcpdestination-porteq6888
rule8denyudpdestination-porteq6889
rule9denytcpdestination-porteq4444
rule10denyudpdestination-porteqtftp
rule11denytcpdestination-porteq135
rule12denyudpdestination-porteq135
rule13denytcpdestination-porteq445
rule14denyudpdestination-porteq445
rule15denytcpdestination-porteq593
rule16denyudpdestination-porteq593
rule17denyudpdestination-porteq1434
rule18denytcpdestination-porteq1234
rule19denytcpdestination-porteq7070
rule20denytcpdestination-porteq139
rule21denyudpdestination-porteqnetbios-ssn
图4
图5
3总结
通过以上重新规划整改建设完成后以及所采取的安全策略后,网络的安全性得到很大的提升,得到了各方面的认可。网络运行一年以来,网络安全可靠地运行,这充分说明我们采取的安全策略效果显著,改造之前来自台oa网、广域网的网络蠕虫病毒经常侵扰着技术网的应用系统,改造之后网络病毒在台技术网内大肆传播的现象不再发生。当然为确保信息系统的使用安全,我们不仅仅只局限在网络设备做安全策略,我们还在物理安全方面做重要的建设与部署,如机房的防火、防盗、防雷、网络线路和设备的物理安全、运行环境的安全等等。在数据安全方面,我们采购两套磁盘阵列(每个6tB),实现应用系统的存储和备份。在防病毒方面,我们在oa网服务器网段上安装诺顿Symantec网络版杀毒软件,在技术网eudemon200防火墙上开放特定端口允许在oa网和技术网全网部署杀毒软件。最后我们还向台领导提出:安全是“三分技术、七分管理”在进行技术改良的同时,还要对我台的网络信息安全管理进行相应的优化调整,制定合理的管理制度,加强对相关规章制度执行效果的管控,突出安全管理主线,从而真正实现技术与管理的齐头并进,为我台营造一个高效、安全的网络环境。
参考文献:
网络安全核心技术篇3
在网络空间中,什么是网络的核心技术?互联网核心技术实际上就是互联网的体系结构,任何事物的体系结构都是讲这个事物各部分的功能组成及相互关系,在互联网里,网络层次起承上启下的作用。
真正的网络层是由三个要素组成。一是传输格式,互联网的初衷是用互联网连接所有的通信系统和网络,所以它的标准传输格式是非常重要的,即目前仍在使用的ipv4协议,将要被新的ipv6协议替代;二是转换方式,互联网之所以在众多的网络和技术中胜出,最重要的是采用了无连接分组交换技术,也就是ip技术,这个交换技术形成了互联网的核心;三是路由控制,互联网把数据从一端送到另一端是靠中间的路由控制算法,其核心技术难题在于传输格式和转换方式相对稳定的情况下,路由控制必须要满足不断增长的应用及不断变化的通信和网络技术发展。我们对互联网的很多苛求总是从某一方面产生的,如果想满足所有需求,一定是个平衡产物,所以最优的互联网体系结构和路由控制实际上是最难的。
ipv6下一代互联网发展的新形势
互联网在20世纪80年代初期就定下来ipv4协议的格式,一直延续至今。当今互联网的发展需求越来越大,到了2012年ipv4地址全球分配完毕,最近几年ipv6呈爆发式增长。十多年研究结果显示,仍然没有找到一个能够替代这个ip协议的新的网络结构。可以预测,在未来10~20年,ipv6一定是互联网的主要协议。
中国早期由于技术上的落后,没有申请到大量的ip地址,很多单位都是用私有地址,出口上再用公有地址转换,现在,ipv6协议给我们带来了非常大的机会。
上世纪90年代末期、2000年初期的时候,国际上没有大规模使用ipv6组网的经验,ipv6海量地址空间会带来新的挑战和困难。
基于这一背景,经过两年的调研和论证,2003年,国务院批复了八个部委向国家申请的启动中国下一代互联网示范工程的计划CnGi。CnGi项目开始实施,经过五年完成了第一阶段的工作,建成了当时全球最大的ipv6示范网,同时开发攻克了一批互联网ipv6关键技术,包括运营商、设渲圃焐桃约坝τ萌砑的开发商等。该项目在2008年被评为中国科学十大进展第二名。
在此之后,中国制定了下一代互联网的路线图和时间表,把2010年之前作为准备阶段,2011~2015年是过渡阶段,2016年以后作为完成阶段。第一阶段中国在国际上处于领先地位,产生了一些创新型成果:一是通过与近100所大学及与设备制造商、运营商的合作,建成了全球最大的纯ipv6示范网,当时国际上的做法是做ipv4搭建一个ipv6功能,实现双栈,离了ipv4后其ipv6是不能运行的;二是我们主要采用国产设备,70%的设备是由中国制造来搭建ip主干网,这个在当时的ipv4网上还没有做到。
值得一提的是,中国在国际标准化组织itF的范畴之内取得了非常领先的成果,一个是隧道技术,还有一个是翻译技术,都取得了很大进展。此外,在未来网络里,很多安全问题将仍然存在,中国在解决安全问题上走在国际前列。
ipv6为解决网络空间安全问题带来挑战与机遇
随着ipv4地址在全球的分配殆尽,从2013年开始,全球的ipv6网络呈现一个比较大的发展趋势。全球的ipv6流量从2012年到2015年增长了十倍,预计2018年ipv6流量超出ipv4。为什么中国早在2008年第一期就取得了预定的战略目标,最近几年却发展缓慢?
第一,我国在互联网技术使用上还是比较落后的。技术落后使得地址短缺,地址短缺造成的应用就是用私有地址出口转换成公有地址。我们知道地址的转换非常降低网络效率,我们的互联网带宽低、延迟大、速度慢,一方面是基础投资不够,另一方面是地址转换产生了很重要的阻力。这一因素也养成了不用公有地址的习惯,国外一个用户要拿到运营商的服务必须有公有地址,在中国不一定这样,大家有时候选择少,另外也没有这个意识非要选择一个公有地址。
第二,互联网缺乏应有的国际竞争。2014年、2015年期间,谷歌、Facebook已经大量迁移至ipv6上,我们国家一些信息提供商也参与到CnGi项目,但他们只有几个层次,深层次访问他们并没有提供。
第三,我国互联网安全监管措施成本和代价很高,在ipv6上面,整个迁移以后需要重新构建。有些搞安全的专家也认为ipv6本身有端到端加密的功能,使得我们国家的很多安全管理和监控有很多困难。实际上互联网为什么在ipv6上有了加密,ipv4反而没有,就是要让用户有安全措施,这个到底是好还是不好,大家自有判断。
然而,互联网在ipv6里面解决网络空间安全问题确实是一个非常好的机遇。互联网为什么有很多安全问题?因为它是一个开放网络,在这样开放的网络中,所有访问是不可信的,每一个分组的访问,都不会对源地址进行验证。如果能解决这个问题,互联网的安全等级会大大提高。
学科增设有效提升网络安全技术水平
目前,我国也高度重视网络安全问题。从2014年中央网信办成立,到把网络强国作为国家发展互联网的战略目标,都强调在网络信息技术里要自主创新,把互联网核心技术、自主创新提到比较高的位置。
我认为,互联网是网络空间的基础,而互联网安全也面临诸多挑战。例如,源地址不做认证的问题,路由会产生非常多的问题,DoS攻击也是基于此产生。此外,大规模的域名劫持和假冒也会导致很多安全问题,尤其会对运营商带来很大危害。
我们在解决网络空间安全核心技术方面有两条技术路线,一是有病治病,二是要有新思路。以ipv6为基础,增加路由源地址验证、增加二维网络控制,能使这个网络更加安全、更加可信,起码所有的数据能够知道它们从哪来到哪去,谁负责,这是非常重要的。此外,我们也需要高层次的人才去设计安全的互联网。2015年,经过一系列努力,国家正式批复在“工学”门类下增设“网络空间安全”一级学科,并授予网络空间安全学科的硕士和博士学位;2016年,又有29所学校获得了我国首批网络空间安全一级学科博士学位授权点。2016年可以称为网络空间安全硕士和博士的元年。
这样一个学科对于我国提高网络安全技术水平有非常大的作用。我们分为五个学科部分,网络安全核心有三方面,计算系统安全、网络安全、应用安全,这三个是有所区别完全独立的。另外,有共性的密码权,在这三个学科里面都有表现,都有其作用。还有一个就是网络体系(即网络空间安全的基础)等。网络安全主要是通信和互联网安全问题、攻防问题,而应用安全包括各种应用系统关键设施的安全和隐私保护。
网络安全核心技术篇4
关键词:4G;无线通信技术;无线网络安全;it领域应用
中图分类号:tS801.8文献标识码:a
0引言
随着世界范围的通信技术的突飞猛进,移动通信技术作为高新技术发展迅速,应用广泛,渗透到人们生活的最广。移动通信技术从最初的1G、2G向3G进化发展,随着无线网络与互联网inietmet的渗透融合,3G系统逐步向的新一代的移动通信技术4G逐步发展。第四代通信技术致力于无缝融合不同无线通信技术,支持高速率通信环境,可以解决3G无法解决的问题,同时其安全问题也更加复杂化。3G向4G扩展,世界范围内的移动通信都面临着对4G系统下无线网络的复杂性、安全性、网络实体间的信任的进一步扩展的研究探索。随着移动终端的计算能力和存储能力的不断发展以及各种衍生的操作系统,移动通信终端与4G网络的安全也面临着前所未有的威胁,因此,4G系统的安全问题要作为网络结构的重要因素来考量。
我国工信部在2009年年初举办了小型4G牌照发放,我国的4G技术开始萌芽。2013年年内,工信部将向企业发放4G牌照,以推动固定网、wLan、GpRS以及所有ip网的融合,我国通信行业将正式进入4G时代。通信技术的革新给人们生产生活带来了重大的变化,4G通信技术给人们提供自由沟通的基础上,深刻地改变着人们的生活,其应用前景广阔。
4G通信技术概念
4G是第四代移动通信技术的简称,称为广带(Broad-band)接入和分布网络,传输能力超过2mbps的非对称数据,对全速移动用户可以提供150mbps的高质量影像服务,并首次实现三维图像的高质量传输,是能够传输高质量视频和高质量图像的一种新技术。4G通信技术包括广带的无线固定接入和无线局域网(wLan)以及移动广带系统和互操作的广播网络。4G通信技术可以实现任何时间任何地点接入互联网,提供无线网络服务,在实现信息通信沟通的基础上,还可以实现定位、数据采集和远程控制。另外,4G通信技术属于宽带接入ip系统,是一种具有综合功能的多媒体移动通信(multi-mobileCommunication)。
4G通信技术具有如下特点:
高速传输、更宽带宽、更大容量:传输的平均速率达到200mb/s,静止环境下可达1Gb/s以上,传输高峰时也可达到50~100mb/s;4G信道频谱为100mHz,为3G网络的20倍;4G容量是3G的10倍。
无缝通信、高智能性:4G技术可以以不同的接入技术进行接入,可以实现全球漫游,无缝通信;4G技术可以自行分配资源,实时处理业务流的变化以及信道的环境变化,基于这一点,4G通信的终端设备也将更加智能化。
良好的兼容性和交互性:4G通信技术可以实现与多种网络和终端对接互联,具有良好的融合性并支持多媒体业务的交互。
基于全ip核心网:采用无线接入协议和核心网协议,支持有线、无线接入。
成本低,终端设备多样性:4G系统成本仅为3G系统的十分之一左右;与4G相配套的终端设备种类多样,除智能手机外,更可安装在眼睛、手表等设备中。
4G网络架构
2.14G网络架构
4G通信技术为全数字ip技术,采用单一蜂窝核心网带代替3G原有的交错复杂的蜂窝网,其网络架构如图1所示。ip核心网络作为一种统一网络,支持有线接入和无线接入的多接入方式,如pStn/iSDn、2G/3G网、internet网、Bluetooth等。接入方式的终端用户拥有可识别的号码,该号码具有唯一性,以分层结构实现不同结构系统间的相互操作。4G网络架构与ip核心网相连接,实现多种业务的连接,具有通用性、透明性和可扩展性。4G技术更有可能与光纤网络技术和宽带ip技术为主要网络,成为全球范围的骨干网络。基于ip核心网的网络架构可以实现2G、3G、4G、wLan和固定网的无缝链接,用户可以在任何地点以任何一种接入方式接入,以实现相同的业务办理。
图14G通信技术的网络架构
2.24G网络的关键技术
4G通信的关键技术主要包括正交频分复用技术(oFmD)、软件无线电技术(SDR)、智能天线技术(Sa/ia)、多输入多输出(mimo)技术、ip核心网、第四代网络协议(ipv6)以及定位切换技术等。
4G网络安全策略
4G网络存在的安全问题
4G通信技术的实现除了需要解决的技术难题,更面临着一系列的安全问题。4G网络的多接入方式给人们带来便利的同时也带来了一定的安全问题。有线网络中出现的安全威胁也同样存在于无线网络中。无线网络中的终端设备的计算、存储以及电池容量、信道数目、传输速率等方面具有局限性。无线接入方式由于其开放性更易受到恶意攻击,终端设备的通信接口的访问控制不完善、操作系统各异,更容易发生信息篡改事件和操作漏洞。无线网络拓扑结构动态变化,安全管理难以集中实现。
无线网络本身的性质也使得4G通信技术的实施带有潜在的危险。无线网络的有线线路部分为独立网络,不具有开放性,无线网络与互联网的相互融合,使得无线网络的有线线路面临威胁,如恶意攻击可以使链路上的数据丢失,链路上的未加密信息被窃听等。接入网和核心网等网络的实体部分,也会受到攻击者伪装成合法用户儿获取真正合法用户的信息等恶意事件。移动终端设备的逐渐发展为智能手机、pDa等设备,这些终端设备的存储能力低、计算能力相对较差,也给4G通信带来安全威胁。另外,无线网络也会给移动终端设备带来病毒感染。
4G网络安全策略
3.2.14G移动安全管理策略
4G通信技术支持链路层移动和网络层移动,链路层移动是同结构网络之间的移动,网络层移动是指相异结构网络之间的移动。4G移动的安全管理直接影响着移动终端设备的正常通信和相关的扩展业务。移动安全管理包括位置管理和切换管理,用户进行呼叫时,位置管理确保其可以顺畅的接入到最近的网点。如果,移动过程中改变接入点,切换管理会确保用户能够顺利实现网点切换,保持用户的网络使用畅通。
针对相异网络结构的移动,4G移动安全管理提供了最行之有效的解决方案,该方案由原有的网络协议ipv6进行改进,改进后的ipv6协议满足网络层移动管理的要求,采用分层寻址方式,可以实现实时位置管理和切换,符合4G通信系统的要求。4G通信的切换管理具有一定的优势,如自动切换、自适应选择网线网络、不同移动服务商之间可实现自动平滑接到新的网络等。
3.2.24G网络安全策略
4G通信系统的业务多元化得益于其相异结构的网络,网络结构与3G网络结构不同,其网络安全策略也比3G的要求高。针对新的网络结构,制定新的适用于4G网络的安全策略是保证4G通信系统网络安全的重点。DoCo2moeuro实验室对其安全体系进行了深入研究,初步确定了4G网络安全应该从轻量级、复合式、可重复配置等安全机制,如改进的网络协议ipv6,要求认证、授权、审计和计费(aaaa)等算法计算要具有轻量、复合的特性。
4G通信技术应用发展趋势
4G通信技术以移动数据为主,面向internet,传统的移动电话通信模式已被以电话业务为主的移动网络业务功能多元化所取代。移动终端设备向着智能化发展,出现了各种操作系统,以操作系统为基础接入网络,由于网络本身的差异性下降,网络覆盖性好,电信产业的模式发生的着深刻的变化,用户切实感受到智能移动终端与网络的充分融合,改变了it领域的应用模式、移动终端可以实现电脑实现的几乎所有功能,改变了人们的生活方式。4G通信技术在it领域的应用发展具有广阔的市场。
在实现手机通信会话功能的基础上,4G网络还具有以下应用:
4G在智能移动终端中的应用
4G网络并不是简单的3G网络的升级,4G通信以oFDm技术为基础,可以实现数字、影音、视频、图像、音乐、网页浏览等增值服务,人们能够感受到高质量的多媒体通信,观看电影、网上购物、余票查询、网络游戏等都可以在4G通信下得到实现。
4G在射频测量技术中的应用
4G网络的该频谱带宽可以满足射频测量中的射频信号源、射频功率计、射频频谱的测量。
4G在智慧家庭中的应用
4G是一条信息高速公路,不需要线缆等实体就可在三维空间虚拟实境连接,使人与机器之间的远程交流成为可能,未来发展智慧家庭,可以改变人们的生活方式,不在家也可以通过4G网络实现家庭智能、个性的操作。
4G智慧学堂中的应用
4G网络可以实现基于移动无线网络的教育服务,以学生为中心,构建以网络为基础的数字化教学平台,未来学生通过平板电脑就可以实现与教师的互动学习,教师也可以实时跟踪学生学习情况。
4G在移动医院中的应用
通过铺设在院区内的网络,大中型医院可以建立医院核心业务系统数据平台,协助医护人员通过智能终端设备完成临床诊断和护理,提升工作效率,减少差错。
4G在it研发中的应用
企业在it领域的研发,引进4G网络,通过手机、电脑、互联网之间的自由沟通和控制,使不同工作不同业务在不同时间、不同地点实现对接,使研发工作取得质的突破。
综上,4G通信技术是未来通信行业的发展的必然趋势,4G网络更具兼容性、高速性和融合性,在不久的将来,4G通信技术会出现在我们工作生活的很多地方,以多种形式展现它的魅力。
结论
计算机技术的发展和普及,智能终端设备的升级换代,网定移动网络的融合发展,给通信行业发展带来契机。本文对4G网络的概念、网络结构、安全问题进行了阐述,对其在it领域的应用发展趋势进行了展望。4G网络还处于初始阶段,一些难题还没有进行深入研究,很多问题还没有解决,随着人们的新要求、新想法的出现,4G网络通信技术将会进一步完善并向着有序的方向发展。
[参考文献](References)
[1]DenisR,philippeS.ConvergenceandCompetitiononthewaytowards4G[C].RadioandwirelessSymposium,2007ieee9-11Jan,2007:277-280.
[2]SahaD,mukherjeea.mobilitySupportinip:aSurveyoftheRelatedprototocols[J].ieeenet2work,november/December2004:34-40.
[3]刘艳萍,章秀银,胡斌杰.4G核心技术原理及其与3G系统的对比分析[J].移动通信,2004,7(10):40-42.
[4]胡国华,袁树杰,谭敏.4G移动通信技术与安全缺陷分析[J].通信技术,2008,07(41):155-157.
[5]杨超,梅康,陈金鹰,朱军.4G通信技术及其应用前景[J].通信与信息技术,2011.3.
网络安全核心技术篇5
如今的信息发展速度是飞快的,我们的通信与网络之间的联系也越来越紧密。此种情况下一定程度的促进了网络的迅速发展,不可否认的是网络通信在日益腾飞的今天,它的安全问题也逐渐受到消费者的重视,对于维护网络通信的安全压力也越来越大。网络通信的天然属性就是开放,与此同时开放性的存在也导致了许多安全方面的漏洞,随着内外安全环境的日益恶化,诸如信息窃取或者网络攻击的活动也逐渐变得猖獗。同时网络的恶意行为趋势也渐渐变得明显,在一定程度上充分的引起了我们的注重。许多有组织的集团或者骇客攻击的存在都严重影响着我国网络的通信安全。
一、网络的通信安全
在对网络的通信安全进行定义时需要从多方面来考虑。其定义从国际化的角度看来可以是信息的可用性、可靠性、完整性以及保密性。一般情况下网络通信安全指的是依据网络的特性由相关的安全技术以及预防计算机的网络硬件系统遭迫害所采取的措施服务。
1.影响网络通信安全的因素
首先就是软硬件的设施。许多的软硬件系统一开始是为了方便管理才事先设置了远程终端登录的控制通道,这样会极大程度的加大了病毒或者黑客攻击的漏洞。除此之外很多软件在一开始设计时虽然会将种种安全的因素考虑进去,但不可避免的时间一长就会出现缺陷。在出现问题后就需要立即补丁来进行漏洞弥补。与此同时一些商用的软件源程序会逐渐变得公开或者半公开化的形态,这就使得一些别有用心的人轻易找到其中漏洞进行攻击。在一定程度上使得网络的通信安全受到威胁。
其次就是人为的破坏。某些计算机的内部管理员工由于缺乏一定的安全意识以及安全技术,利用自身的合法身份进到网络中,从事一些破坏、恶意窃取的行为。最后就是tcp/ip的服务比较脆弱,由于因特网的基本协议就是tcp/ip协议,这个协议的设计虽然比较有实效但是安全因素比较匮乏。这样就会增大代码的量,最终也会导致tcp/1p的实际运行效率降低。因此tcp/ip其自身的设计就存在着许多隐患。许多以tcp/ip为基础的应用服务比如电子邮件、ftp等服务都会在不同的程度受到安全威胁。
2.常用的几种通信安全技术
比较常用的有数据加密技术,所谓的加密就是将明文转化为密文的过程。还有数字签名的技术,这时一种对某些信息进行研究论证的较有效手段。除此之外访问控制也是一种有效地安全技术,这一种形式的机制就是利用实体的能力,类别确定权限。
二、通信网络的安全防护措施
正是由于通信网络的功本文由http://收集整理能逐渐变得强大,我们的日常生活也越来越离不开它,因此我们必须采取一系列有效措施来将网络的风险降到最低。
1.防火墙技术
通常情况下的网络对外接口所使用的防火墙技术可以使得数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全的保护,这样可以极大限度的对网络中出现的黑客进行阻止,在一定层面上可以防止这些黑客的恶意更改、随意移动网络重要信息的行为。防火墙的存在可以防止某些internet中不安全因素的蔓延,是一种较有效地安全机制,因此防火墙可以说是网络安全不可缺少的一部分。
2.身份的认证技术
经过身份认证的技术可以一定范围内的保证信息的完整机密性。
3.入侵的检测技术
一般的防火墙知识保护内部的网络不被外部攻击,对于内部的网络存在的非法活动监控程度还不够,入侵系统就是为了弥补这一点而存在的。它可以对内部、外部攻击积极地进行实时保护,网络受到危害前就可以将信息拦截,可以提高信息的安全性。
4.漏洞的扫描技术
在面对网络不断复杂且不断变化的局面时,知识依靠相关网络的管理员进行安全漏洞以及风险评估很显然是不行的,只有依靠网络的安全扫描工具才可以在优化的系统配置下将安全漏洞以及安全隐患消除掉。在某些安全程度较低的状况下可以使用黑客工具进行网络的模拟攻击,这样可以一定层面的将网络漏洞暴露出来。
5.虚拟的专用网技术
由一个因特网建立一个安全且是临时的链接,这是一条经过混乱公用网络的稳定安全通道。
6.核心网安全防护
(1)软交换网安全防护。软交换网需要重点防范来自内部的风险,如维护终端、现场支持、支撑系统接入带来的安全问题。重点防护措施可以包括:在软交换网和网管、计费网络的连接边界,设置安全访问策略,禁止越权访问。根据需要,在网络边界部署防病毒网关类产品,以避免蠕虫病毒的蔓延;维测终端、反牵终端安装网络版防病毒软件,并专用于设备维护。
(2)gprs核心网安全防护。gprs系统面临来自gprs用户、互联伙伴和内部的安全风险。gprs安全防护措施对gprs网络划分了多个安全域,例如gn安全域、gi安全域、gp安全域等,各安全域之间vlan或防火墙实现与互联网的隔离;省际gn域互联、gp域与其它plmngrps网络互连、以及gn与gi域互联时,均应设置防火墙,并配置合理的防火墙策略。
(3)3g核心网安全防护:3g核心网不仅在分组域采用ip技术,电路域核心网也将采用ip技术在核心网元间传输媒体流及信令信息,因此ip网络的风险也逐步引入到3g核心网之中。由于3g核心网的重要性和复杂性,可以对其ps域网络和cs域网络分别划分安全域并进行相应的防护。例如对cs域而言,可以划分信令域、媒体域、维护om域、计费域等;对于ps域可以分为gn/gp域,gi域,gom维护域、计费域等;对划分的安全域分别进行安全威胁分析并进行针对性的防护。重要安全域中的网元之间要做到双向认证、数据一致性检查,同时对不同安全域要做到隔离,并在安全域之间进行相应的访问控制。
三、总结
网络安全核心技术篇6
【关键词】网络通信技术网络安全问题解决措施
伴随着网络技术的不断发展,计算机网络系统逐渐完善,实现了计算机之间的资源共享。计算机网络是由多台计算组成,网络通信的可靠性尤为重要,一旦出现网络安全问题,就会造成不同程度的损失。目前,网络通信的安全受到了设备、技术、结构等因素的影响,给人们的生活、工作和学习带来了不便。下面我们首先对影响网络通信可靠性的因素进行分析,然后提出有效的安全措施。
一、影响网络通信可靠性的主要因素
(1)技术因素。大多数计算机网络由不同网络系统组成,具有规模大、结构复杂、综合性强等特点。面对如此强大的网络,我们需要先进的管理技术和高素质的技术人员,能够在网络运行过程中,做好参数信息的采集工作,将网络通信过程中的情况进行记录,及时解决运行过程中的问题。
(2)结构因素。对于不同的计算机网络要配备合理的网络结构,一般来说,网络拓扑结构包括总线型、星型、混合型等。其中总线型的网络结构运用较广泛,在使用总线型结构时,大多数计算机都直接连接到总线结构中,这样会使整体网络简单化,具有很好的经济性。但是,总线型结构的可靠性相对较低,不能够保证网络通信的安全性,由此可见,选择合理的网络结构尤为重要。
(3)设备因素。在连接计算机网络时,使用的是客户终端,它能够影响网络通信的可靠性。在网络通信过程中,保证设备的安全性是网络通信正常进行的前提,换言之,只有保证客户终端的质量,确保网络正常连接,才能提高网络通信的安全。
二、提高网络通信可靠性的措施
(1)提高相关技术水平。要提高网络通信的可靠性,首先要选择科学正确的技术,利用技术支持来保证网络通信的正常运行。一般情况下,首先会采用余度设计、容错技术,就是将整个网络系统中的所有计算机设为彼此的后备机,这样以来,如果其中一台计算机发生故障,那么该台计算机的任务便可以交由后备机,从而减少了网络系统瘫痪的问题,进一步提高了网络通信的可靠性。除此之外,我们还需要加强研究新技术,全面考虑网络技术的发展情况、网络设备的使用等因素,提高网络的适应能力,使其能够在较长的时间段内保持正常运转,从而满足业务需求。
(2)改善网络结构体系。网络结构选择对保证网络通信可靠性来说尤为重要,选择网络多层结构体系不仅能够隔离故障,还能够实现负荷分段并支持一般网路协议。多层结构由接入层、核心层、分布层组成,在网络系统中,运用多层结构能够简化网络运行,提高网络通信的可靠性,下面分别了解一下这三层结构。①接入层。接入层为网络提供了宽带,给用户提供了接入端口,是被允许接入网络系统的起点,它能够对网络流量进行有效控制。在网络系统中,接入层具有成本低、功能强等特点,对实现网络结构的安全性来说尤为重要。②核心层。核心层是网络结构中最重要的一部分,它不仅能够对网络进行划分,使不同的交换区块能够进行连接,还能为交换区块提供数据包,迅速的完成数据交换工作。需要注意的是:在网络应用中,核心层在对网络进行划分时,不能够对列表进行控制,也不能够顾虑数据包。③分布层。在网络中,分布层是用来计算接入层与核心层界点的,它既能划分核心层,也能提供相应的数据处理。在网络系统中,分布层的功能较多,它不仅能够确定网络中心联网,还能够实现工作组接入网络中。
(3)加强设备的可靠性。要提高网络通信的可靠性,一定要保证相关设备的安全性。首先在购买网络设备时,既要确保设备质量能够符合相关要求,又要保证购买的网络设备具有较高的性价比。再就是做好设备的维护工作,在网络系统的运行过程中,要定期对网络设备进行检查或者进行自动检查,以便于提前发现设备故障,并及时给予维修,避免网络系统因设备故障而发生瘫痪现象。
三、结束语
当今时代,信息技术的应用越来越广泛,网络通信的安全性越来越备受关注。在目前的网络通信中存在着一定的安全隐患,它们给人们的生活造成了一定的困扰。为此,需要我们依据网络可靠性设计原则,不断加强相关技术的研究,保证网络拓扑结构的合理性,做好设备维护工作,进一步提高网络通信的可靠性。
参考文献
[1]李崇东,李德梅.网络可靠性研究综述[J].科技信息,2009
网络安全核心技术篇7
关键词:网络系统互联网系统架构
面对全球市场化的挑战,企业要实现跨地区、跨行业、跨国经营的战略目标,要把工作重点转向技术创新、管理创新和制度创新上来,信息化是必然的选择。油田的数字化建设为油田的生产经营业务提供安全、稳定、高效、可靠的网络服务目标,把工作重心转移到确保“数字化管理”的网络需要上来,紧紧围绕中国石油规划的计算机局域网改进项目实施,主要从计算机主干网络、网络安全体系、网络数字化管理等方面,提供了强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全性提出了更高的要求。本文分析油田网络安全体系和网络管理。
一、网络系统架构
遵循中国石油局域网建设和运维规范,结合各地油田实际,科学规划,从网络架构、设备配置、系统承载能力、网络带宽等全面构架网络。
网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则,在主要油气区设置网络汇聚节点,提高网络覆盖面,满足油气生产需要。
网络拓扑结构采用双星型结构。自有电路与社会电路资源结合使用,在链路层面提高了油气区网络的可靠性和安全性。对于主要油气区域的汇聚节点,采用网状组网方式,增加到其他汇聚节点的千兆级电路,提高网络冗余度。
设备配置。主干节点设备采用冗余配置。西安网络核心、各网络汇聚节点及重要三级节点的路由器、交换机,采用双设备冗余配置。用设备与备份设备双机模式工作,在系统或者硬件故障时候应用自动切换,在硬件层面提高主干网络的安全性、可靠性。
网络带宽。油田的数字化管理全面展开,计算机网络的带宽需要按照业务需求进行规划。将网络业务分为生产、办公、住宅三类,逐一预测带宽。将主干网络承载的主要业务生产数据按照其业务层级.从井站、作业区、厂部到公司,逐级分解,明确了主干网络的带宽需求,初步确定了网络核心与各汇聚节点之间采用双2.5Gbps链路互联,三级节点至网络汇聚节点采用1―2个1000mbps-ff联,核心网络采用双万兆互联的链路方案。为确保链路的可靠性,主要节点之间采用双链路互联。
二、网络安全体系的规划和构建
如何规划和设计好网络安全体系,是油田数字化管理基础网络建设的重中之重,也是支持各种信息化应用系统运行的关键所在。按照中国石油的统一规划,各油田计算机网络,对上,与中国石油总部内部网络互联,对外,可以就地通过电信运营商接入internet。这样就可以从结构上将网络安全分为内部安全、外部安全进行考虑。油田在打造畅通、可靠的油田计算机主干网络的同时,同步做好网络安全工作,从网络的边界层、核心层、接入层及安全体系等方面进行统筹规划,已初步形成了边界严防护、核心重监控、桌面勤补漏、全网建体系的网络安全管理理念。网络安全性得到加强,非正常应用流量减少90%。在边界层,采用防火墙及ipS技术,实现对来自外网的安全第一级防护;在网络核心层,首次在企业网应用了流量清洗技术,不仅实现了外网第二级安全防护,还实现企业内部各个重要业务及用户之间的流量监测及攻击性数据清洗;在接入层,采用漏洞扫描系统,不定期对敏感业务系统进行扫描和加固,及时发现安全隐患并予以消除;在主干网方面,以建立网络安全体系为核心,加强网络安全管理,初步建立起了主干网的安全评估体系。
1、互联网网络安全。在与互联网的接入部分,按照安全区、信息交换区、互联网接入区三个安全区进行建设,规划两台防火墙,考虑到出口网络万兆升级以及防火墙处理能力,同时为了降低出口网络复杂度,选择自带ipS功能的防火墙,通过防火墙设备完成出口网络
的安全防护和入侵防护功能。防火墙选型上既考虑国内产品自主知识产权的优势、又兼顾国外产品高性能及稳定性好的特点。
2、内网安全。通过对目前业界各类安全技术的跟踪和研究,重点按照搀D层做清洗、桌面做漏洞扫描及加固、全网进行安全体系建设三方面强化内部网络安全建设。核心网络流量监控及清洗。一方面,通过建立流量模型,保障主要业务。在网络核心。采用相对串接、镜像等方式先进的分光技术,部署旁路流量分析监管设备,通过分析网络核心、互联网出口等流量情况,提炼重要业务的特性,建立全网主要业务流量模型,为网络规划建设提供依据。对于p2p等对于网络带宽消耗较大的业务,设定阀值及流量管理规则,使p2p等业务对用户网络访问影响降到最低。另―方面,通过对异常流量的清洗,保障核心业务及网络的安全。针对目前在网络中频繁发生的病毒攻击等行为,选择旁路部署的网络异常流量清洗设备,通过采用策略路由和BGp引流方式实现流量监控与异常流量的清洗,使得网络安全管理变被动为主动、由事后分析到事前防范、由未知到可视。据统计。2010年3月份就成功消除安全事件1600多起,较大提高了网络的稳定性和可靠性。各类安全策略及规则库的及时更新升级,也使得系统能应对各类新的攻击。
3、安全评估建设及桌面漏洞扫描。在网络核心部署漏洞扫描系统,不定期对相关业务网络进行扫描,发现漏洞,及时进行系统加固,减少安全事件的发生,提高网络稳定性。在此基础上。与国家有安全资质的第三方公司合作,开展安全体系建设,逐步建立较为完善的网络安全管理体系。
三、网络管理
经过计算机网络的大规模建设发展,网络运维工作量规模成倍增长,而网络运维人员没有增加,如何高效运维已经成了追在眉睫的问题,通过不断的调研和测试,我们认为目前的网络厂家的专业化网管软件、第三方网管软件、国内的网络软件之中,第三方的较为实用,纵观Ca、Hp等厂家的系统,Solarwinds成为目前比较适合单位实际,能快速高效部署和运维的一套经济实用的系统。主要实现了以下几个方面的开发和应用:实现对全网的网络设备包括路由器、交换机、防火墙、服务器等的实时监测,涉及CiSCo、中兴、H3C、华赛、Junipier、飞塔等多个厂家的产品,监测参数包括CpU、内存、带宽、会话数等;实现对各类故障的实时告警和管理,以短信等方式及时提醒运维人员;实时展现全网拓扑结构,以图形化界面友好展示网络畅通情况;实现对全网设备的配置自动备份,能进行配置比对,方便技术人员分析设备运行情况;量化统计分析网络及设备的可用性等指标;灵活定制各类报表,方便决策分析和统计。通过自定义方式建立起来的资源管理,极大方便了网络基础数据和资料的管理。
四、结论
在近一年多的实际运维中,主干网络未出现中断、出口通畅,网络可用性达到l00%。网络整体服务能力的各项指标明显提高:网页平均打开时间由15ms降低到7ms;主干带宽利用率保持
参考文献
[1]程泽兵.构建油田网络安全防护体系的研究[J].中国科技信息.2005(19)
[2]宋永鑫,李国庆.油田网络安全初步探讨[J].油气田地面工程.2005(01)
网络安全核心技术篇8
[摘要]网络安全技术不断发展、提高,然而网络安全事故依然频繁发生,主要原因是安全管理的欠缺所致。本文分析了目前威胁网络安全的主要因素,研究了网络管理的内容,提出了以安全策略为核心的网络安全管理体系和实施原则,研究结论是网络安全是一个系统的、全局的管理问题,技术和管理同样重要,必须齐抓共管。
[关键词]网络安全安全策略安全技术安全管理
网络安全问题随着因特网的迅速普及而激增,据美国fbi统计,83%的信息安全事故为内部人员和内外勾结所为。据我国公安部统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。由于内部人员泄密所导致的资产损失高达6干多万美元,是黑客所造成损失的16倍,是病毒所造成损失的12倍。为什么安装了防火墙、防病毒软件等措施后,网络安全事故依然频繁发生?这是因为网络的使用者是人,人们在网上的行为并没有得到有效的管理和控制。
一、威胁网络安全的因素
从根本上说,网络的安全隐患都是利用了网络系统本身存在的安全弱点,在使用、管理过程中的失误和疏漏更加剧了问题的严重性。www.133229.Com威胁网络安全的主要因素有:
1.管理因素。管理人员素质低、管理措施不完善、用户安全意识淡薄等。
2.技术因素。软件本身的漏洞;加密解密、入侵检测等技术产品不完善;病毒层出不穷;黑客程序在网络上的肆意传播等。
3.人为因素。(1)人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户口令选择不慎,都会对网络安全带来威胁。(2)人为的恶意攻击。一是主动攻击,以各方式有选择地破坏信息的有效性和完整性;二是被动攻击,在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可使网络造成极大的危害,导致机密数据的泄露。(3)软件的漏洞和“后门”。软件不可能是百分之百的无缺陷和无漏洞,这些漏洞和缺陷常常是黑客进行攻击的首选目标。
二、网络管理的概念
网络管理是指监督,组织和控制计算机网络通信服务以及信息处理所必需的各种活动的总称,其目标是确保计算机网络的持续正常运行,并在计算机网络系统运行出现异常现象时能及时响应和排除故障。为了对网络进行充分,完备和有序的管理,iso定义了网络管理的五大功能:故障管理,配置管理,计费管理,性能管理和安全管理,这五个大功能包括了保证一个网络系统正常运行的基本功能。
三、网络安全管理体系的建立
网络安全管理体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,完善安全体系赖以生存的大环境。
1.安全策略
安全策略是一个成功的网络安全体系的基础与核心。安全策略包括网络拓扑结构和为了网络安全、稳定、可持续发展能够承受的安全风险,保护对象的安全优先级等方面的内容。
2.安全技术的应用
常见的安全技术主要包括防火墙、安全漏洞扫描、安全评估分析、网管软件、入侵检测、网络陷阱、备份恢复和病毒防范等。在网络安全体系中各种安全技术要合理部署,互联互动,形成一个有机的整体。
3.安全管理
安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。安全管理更主要的是对安全技术和安全策略的管理。用户的安全意识是信息系统是否安全的决定因素,除了在网络中心部署先进的网络结构和功能强大的安全工具外,从制度上、应用上和技术上加强网络安全管理。
(1)建立严格制度。制订网络建设方案、机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录一系列的制度保证网络的核心部门高安全、高可靠地运作。从内到外,层层落实,动态管理,适应新的网络需求,如网络拓扑结构、网络应用以及网络安全技术的不断发展,调整网络的安全管理策略。(2)加强网络技术的培训。网络安全是一门综合性的技术,网络管理人员必须不断地学习新的网络知识,掌握新的网络产品的功能,了解网络病毒、密码攻击、分组窃听、ip欺骗、拒绝服务、端口攻击等多样化的攻击手段,才能更好地管理好网络。(3)加强用户的安全意识。网络安全最大的威胁是网络用户对网络安全知识的缺乏,必须加强用户的安全意识,引导用户自觉安装防病毒软件,打补丁,自动更新操作系统,对不熟悉的软件不要轻易安装。
四、结论
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全事故。安全不能简单的通过一系列的网络安全设备来解决,必须把安全的建设融入到基础网络平台建设过程中,不能单纯考虑网络安全问题,应该从多个层面去考虑网络安全问题,一个完善的而且能够严格执行的安全管理策略,才是安全的核心。计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构,这样才能真正做到整个系统的安全。要提高网络的安全性就必须有严格的网络管理,随着网络的发展网络安全与管理是密不可分的,在确保安全性的前提下,网络才会有利于社会的发展,加快企业信息化建设的步伐。
参考文献:
[1]张伟:网络不安全因素该如何控制和管理.中国制造业信息化,2006.8
[2]薛方芳:简析校园网络安全管理.科技信息,2007.13
[3]杨克:论网络安全管理的重要性.法制与社会,2007.2
网络安全核心技术篇9
关键词:省级;信息服务系统
中图分类号:tp391文献标识码:a文章编号:1009-3044(2008)17-21447-02
1引言
随着信息技术的快速发展,特别是多学科在信息领域的融合,传统意义上的信息服务模式已发生深刻转变。当前以数字省份和城市为旗帜的信息化运动正在全国范围内迅速展开,其本质就是以信息为核心、以网络为支撑建设各行各业的信息管理与服务体系。本文以刚刚建设完成的安徽省地震信息服务系统为例,介绍省级行业信息服务系统的一些思路和关键技术。
2系统目标
安徽省地震信息服务系统由省信息服务中心、城市信息服务节点、台站信息服务节点和县级信息服务节点组成,形成分层次的地震信息宽带服务系统,是地震震观测数据从台站到防震减灾中心,应急数据从现场到各级应急指挥部的传递平台,同时,也是数据信息的共享服务平台。省信息服务中心应能担负全省地震信息服务系统枢纽和数据信息共享服务总节点的职责和任务,成为数据共享和信息服务的网络管理中心。各信息服务节点构成全省分布式信息服务系统。
3技术思路
3.1通信网络系统
通信网络系统是安徽省地震信息服务系统的业务中枢,它决定着不同层面上各类数据流(数据、视频、音频)的通信模式。在合理设计出口带宽、路由与交换模式等情况下,必须重点考虑应急需求以及并发需求。根据数据交换、数据流量、数据存储量、安全级别等因素的要求,确定网络拓扑流程、数据存储模式。交换层采用三层冗余结构设计,接入层包括各业务技术系统,存储与备份、综合监控等系统,直接通过光纤接入核心交换机。
安徽省地震信息服务系统建立了全省统一的网络通信管理平台和运行机制,实现行业内各专业服务区之间的互通。局域网平台由双冗余核心交换与接入交换组成,核心路由器、备份路由器等系统组成广域网接入平台。核心设备采用双机冗余的工作方式,以提高通信线路和网络设备的综合利用率,提高网络的安全性和可靠性。广域网平台是安徽省地震信息服务系统基础设施之一,是复杂的业务系统支撑平台。主信道采用电信运营商提供的SDH传输网,备份信道则采用Vpn信道或无线信道。图1为省地震信息服务系统网络拓扑图。
省地震信息服务中心的通信链路的外部出口分为4种类型,如表1所示。四类出口的带宽、路由设计依照流量统计与功能需求相适应的策略,并可适当的提升。
3.2基本服务系统
主要包括web服务、Ftp服务、email服务、DnS服务和ntp服务等,采用设计优良、互操作性好的企业级运算平台SUSeLinux操作系统。
3.3数据、网络服务系统
采用oracle10g分布式关系型数据库,利用webLogical中间件引入Java的动态功能和Javaenterprise安全性,从而使系统具备可扩展性、开发快速、部署灵活、关键任务可靠等特点。应用数据、汇集和处理技术及数据仓库和门户网站技术,采用web、Ftp、e_mail等访问方式,形成省、市、县和台四级数据服务体系,包括文件、报表、图形、图像、视频多媒体信息和网络数据库内容查询等各方面的内容。数据、网络服务软件主要包括:统一数据交换平台、webGis基础平台、nmS网络管理系统等。
3.4应用服务系统
主要包括门户网站、专业数据封装webService、日志管理系统、市县上报系统、台站参数管理、通用报表系统、协同工作平台、Voip电话系统等。
3.5政务系统
政务系统与互联网逻辑隔离,纵向连接中国地震局和大中城市,横向连接地震行业各二级单位。政务系统将初步实现电子公文流转、信息管理、会议管理、督察管理等协同办公功能。
3.6网络安全系统
主要包括防火墙系统、防病毒网关、入侵检测系统(iDS)和防病毒系统。防火墙部署在网络出口wan上,Vpn路由器接口上必须为可路由ip地址(公网ip),与局域网的连接上串连防毒墙,DmZ接口留做备用。防火墙的Lan2口上作nat/pat转换,用于对内的访问和内网用户对互联网的访问。防毒墙部署在防火墙之后,与内网连接的必经之路上。iDS设备连接至核心交换机的其中之一,主要监听重要网段,以便提前发现网络中存的不安全问题,保证数据区和DmZ区的正常运行。防病毒系统建立管理中心,侦测终端用户机的病毒查杀情况。
4成果和效益
4.1总体成果和效益
安徽省地震信息服务系统应用现代先进的科学技术,使地震监测、地震预报、地震应急等技术系统,向数字化、网络化、自动化、标准化迈进,为相关的科学研究提供高标准的基础技术平台与高质量的数据,最终达到提高全社会对地震灾害的综合防御能力,有效地减轻地震灾害。
4.2平台成果和效益
高速网络平台、数据平台、信息平台、政务系统可提供宽带信息通道以及地震信息服务,保证日常地震监测预报和科学研究、大震时监测预报数据信息、应急指挥信息的快速传递与共享。
4.3节点成果和效益
信息服务节点的网络平台、信息共享与服务系统、网络运行管理系统、Voip系统、地震信息网站和应急指挥系统,可提高城市对地震灾害的综合防御能力,有效地减轻地震灾害。
5关键技术与科学难点
5.1网络平台
安徽省地震信息服务系统作为通信网络的中心枢纽,建立了高速网络通信平台。两台核心交换机通过其三层路由接口与两台核心路由器进行全网状连接,运行oSpF协议,并启用虚拟路由冗余协议VRRp,提供内部路由器加入域。
5.2备份技术
采用双机热备服务系统实现了主服务器和辅服务器的互备,使整体系统可以具有更高的运行率,网络中心更为稳定与可靠。
5.3存储系统
配置了高容量的盘阵系统,在线存储全部采用RaiD技术,既增加了数据的存储安全性,又大大缓解了存储空间紧张的局面,为开展数据信息服务打下了坚实的基础。采用java三层体系结构实现信息,在web信息管理上,实现了JaVa/JSp+mysql的动态管理功能,使管理与维护工作变为更为方便,提高了工作效率。
5.4安全系统
采用多种网络安全防范措施,不仅使用了防火墙系统,对网络的安全进行管理,而且配置了入侵检测系统和防病毒网关,可以及时发现攻击行为和网络及服务器漏洞,适时进行修改,提高了网络的安全性和易管理性。
6结束语
省级行业信息服务系统所涉及的设备多、技术系统复杂,必须充分考虑系统集成。通过集成提高核心软、硬件的技术指标,以保证系统的先进性、开放性、可靠性、扩展性和维护性。
系统总体设计应具有一定的前瞻性,关键设备具备冗余配置,并提供性能检测、记录、报警、维护等手段。应充分考虑核心设备的稳定性,尽可能提升系统的安全性、高存储性、容错性和综合监控自动化的能力。
参考文献:
[1]丰继林,等.计算机网络工程与实践[m].北京:清华大学出版社,2005.
[2]方勇.信息系统安全导论[m].北京:电子工业出版社,2003.
[3]王彬.oracle10g简明教程[m].北京:清华大学出版社,2006.
网络安全核心技术篇10
摘要:随着我国信息化建设从横向规模发展转变为纵向深度应用发展,社会对各种类型网络技术人才在数量和质量上的需求也正在发生变化。为了适应这些变化,本文分析了网络工程专业人才的需求,提出了3个专业方向和6种专业能力,并围绕各专业方向的专业能力培养,给出了一个示范性的网络工程专业课程体系。
关键词:网络工程专业;专业方向;专业能力;示范课程体系
一、研究背景
网络工程专业是在计算机科学与技术、通信工程等专业交叉、融合的基础上发展起来的新专业。从1998年网络工程专业被教育部列入本科专业目录以来,至今全国已有近300所高校设置了该专业,为社会培养了大批网络专业技术人才。
随着我国信息化建设从横向规模发展转变为纵向深度应用发展,社会对各种类型的网络技术人才在数量和质量上的需求也正在发生变化。主要表现为:
1.不断扩展的互联网应用需求,不断涌现的新信息技术对网络体系结构的适用性、网络协议性能与服务质量、网络应用的可靠性与安全性等提出了新的挑战,科研院所需要高层次的关于网络理论与技术的科学研究后备人才。
2.网络设备制造企业和网络应用开发企业迅速崛起,网络相关软硬件产品更新换代以及产品系列化、企业规模化等,需要大量的网络软硬件系统研发人才。
3.不断涌现的新企事业单位网络系统规划设计、建设与施工需求,大量原有的企事业单位网络系统扩容、升级与改造需求,需要大量的网络系统规划设计、信息系统集成、网络软硬件产品安装与调试等组网工程技术人才。
4.政府、军队及企事业单位对网络与信息系统应用的不断深入,网络系统已成为各单位的一种基础性设施,急需大量的网络与信息系统管理、维护及安全保障人才。
5.各行各业的网络应用如雨后春笋般地发展,产生了一系列新岗位、新职业需求。
为了适应上述应用需求,一方面,作为一个跨学科、实用性强、服务面广的专业,网络工程专业的内涵、人才培养目标需要不断丰富和发展。首先,在专业内涵方面,需要涵盖局域网、城域网、广域网、互联网、无线网络与移动通信、物联网、社交网络以及空间网络等多个领域的理论基础、技术原理和工程方法等内容;其次,在人才培养目标方面,需要培养包括网络软硬件系统设计与开发、网络工程规划设计与施工、网络系统管理与维护等多层次的专业人才。另一方面,从培养规模来看,网络工程无疑已是一个较大规模的专业,而且未来有更大的发展空间。人们不禁会问,网络工程专业具有哪些专业方向?每个专业方向需要掌握哪些专业知识?具有哪些专业能力?将来可就业于哪些工作岗位?为此,我们必须思考网络工程专业应该具有什么样的知识体系?应该包括哪些核心知识单元?各专业方向需要开设哪些核心专业课程和专业扩展课程?应该进行哪些实践环节的训练?网络工程专业与计算机科学与技术、信息安全、通信工程、物联网工程等相关专业差异与特色何在?本科、专科与培训机构之间的培养定位又各是什么?
本文将围绕网络工程专业人才培养目标、专业方向、专业能力和专业课程体系等问题进行探讨。
二、人才培养目标
必须根据网络技术的发展和社会需求,面向网络工程的整个生命周期,适时调整网络工程专业人才培养目标,使之覆盖网络设备的设计与开发、网络协议的设计与开发、网络工程规划设计与实施、网络应用系统开发以及网络系统的管理与安全等方面。
因此,网络工程专业的人才培养目标定义为:培养德、智、体全面发展,具有深厚的数学和自然科学基础知识,扎实的专业基础知识,较强的网络工程专业能力,能从事网络设备和网络协议研发、网络应用系统开发、组网工程的规划设计与实施、网络系统的管理与维护、网络安全保障等技术工作,具有一定的工程管理能力和良好的职业道德与团队协作精神的中、高级网络技术人才。
三、专业方向设置
为了满足调整后的网络工程专业人才培养目标需求,可在网络工程专业设立“网络设计、组网工程、网络管理与网络安全”3个专业方向。覆盖网络工程生命周期中的网络产品设计与开发、组网工程建设、网络系统管理与维护3个阶段,如图1所示。
图1网络工程专业方向
各专业方向的内涵如下:
1.网络设计。包括网络理论与网络体系结构研究、网络硬件系统设计与研发、网络协议分析与新协议研发、基于网络的通用服务系统设计与研发、基于行业的网络应用系统设计与研发、网络应用新技术与新型网络计算模式的研究等内容。
该方向侧重于科学研究型人才的培养。毕业生适合到网络技术相关的科研院所、网络设备生产厂家、网络软件开发公司与网络服务公司、高等院校等单位从事网络相关理论与技术研究,网络设备、网络协议、网络应用系统等的分析、设计、开发以及教育、教学和人才培养等工作。
2.组网工程。包括网络系统需求分析、网络系统结构设计与规划、组网方案设计与论证、网络软硬件产品安装与配置、局域网络系统、广域网系统和互联网系统集成、多层构架的网络应用系统集成、跨平台多数据源的数据集成、网络系统测试与验收等内容。
组网工程方向侧重于工程型人才的培养。毕业生适合到系统集成公司、网络服务公司、电信运营公司等从事网络系统规划、设计与集成及it领域技术支持与市场拓展等工作。
3.网络管理与网络安全。包括网络管理与网络安全协议及相关技术研究、网络管理与网络安全需求分析、方案设计与系统部署、网络故障分析与维护、网络性能测试、评估与优化、网络安全策略制订与实施等内容。
网络管理与网络安全方向侧重于应用型人才的培养。毕业生适合到政府、军队、企事业单位从事办公自动化网络的管理、维护、安全保障与信息化建设决策支持等工作。
通过专业方向的划分,调整网络专业人才培养结构,使研究型、工程型和应用型人才协调发展。形成以研发、工程、应用人才队伍为主体,管理、市场及服务人才队伍规模适度的人才体系。
根据上述专业方向的分工,不同类型的学校可以充分发挥本校师资队伍的水平和学生的特长,设置具有自身特色的培养目标。例如,有的可以侧重于培养与网络技术的研究、网络新产品与网络新应用系统的设计与开发等相关的科学研究与系统设计型人才,有的可以侧重于培养与网络应用系统的设计与开发、网络组网工程的实施等相关的工程型人才,有的可以侧重于培养与网络系统的使用、网络系统的管理与维护技术、网络系统安全防护等相关的应用型人才。
四、专业能力构成
综合不同专业方向、不同类型人才培养目标和用人单位对网络工程专业人才的能力需求以及网络工程生命周期各环节的技术要求,我们将网络工程人才专业能力归纳为“网络硬件设备研究与设计、网络协议分析与设计、网络应用系统设计与开发、网络工程规划设计与实施、网络系统管理与维护、网络系统安全保障”6个方面。
1.网络硬件设备研究与设计能力。熟悉网络设备与系统的体系结构和物理层、链路层的工作原理,掌握网络交换机、路由器、防火墙等网络硬件系统的设计与开发方法,具有初步的网络硬件新技术、新产品的研究与设计等方面的能力。
2.网络协议分析与设计能力。熟悉网络协议体系结构,掌握包括局域网协议、广域网协议、tCp/ip、网络安全协议、网络管理协议及其他网络应用协议等的工作原理,具有初步的协议分析与设计、协议实现、协议测试与验证等方面的能力。
3.网络应用系统设计与开发能力。熟悉客户机/服务器、浏览器/服务器、p2p等网络计算与服务模型,掌握软件设计、开发与测试的基本知识与方法,掌握web服务技术、以网络为中心的计算技术(如网格计算、网络存储、云计算技术等)、网络多媒体技术以及套接字api、.net、J2ee等主流的网络程序设计技术,具有初步的网络应用系统设计与开发方面的能力。
4.网络工程规划设计与实施能力。熟悉网络设备与系统的体系结构与工作原理,掌握主流网络设备与系统的安装、配置与使用方法,具有网络拓扑结构设计、网络路由设计、子网、VLan与ip地址规划与设计、网络可靠性方案与安全性方案的设计与部署、网络服务部署、综合布线方案设计、网络施工方案设计以及网络测试与验收方案设计等方面的能力。
5.网络系统管理与维护能力。熟悉常见网络设备与系统的工作原理,掌握主流网络管理模型和网络管理系统功能与结构,掌握网络设备与系统的配置管理、故障管理、性能管理、安全管理、计费管理、网络性能评价与优化等技术与方法,具有初步的网络与信息系统的管理与维护能力。
6.网络系统安全保障能力。熟悉信息安全基本理论和常见的网络安全产品的工作原理,掌握主流网络安全产品如防火墙系统、入侵检测系统、漏洞扫描系统、病毒防杀系统的安装配置方法和使用方法,具有从事网络系统安全策略与措施制订、安全系统部署、安全事故预防、监测、跟踪、管理与恢复等方面的能力,具有初步的网络安全系统的设计与开发能力。
各专业方向应具有的专业能力和典型的工作岗位如下表所示。
专业方向、能力与岗位对应表
专业方向专业能力典型工作岗位
网络设计网络硬件设备研究与设计能力网络硬件工程师、网络设备测试工程师等
网络协议分析与设计能力网络协议分析师、网络协议测试工程师等
网络应用系统设计与开发能力网络软件工程师、网站设计师等
组网工程网络工程规划与设计能力网络规划师、网络架构工程师等
网络工程建设与系统集成能力网络组网工程师、系统集成工程师等
网络管理与网络安全网络系统管理与维护能力网络管理员、网站设计与维护工程师等
网络系统安全保障能力网络安全评估、安全管理与维护工程师等
五、课程体系设计
在设计网络工程专业的课程体系时,既要充分考虑对计算机、通信等相关专业的基础知识的继承性,同时还要考虑与这些专业的差异性,以体现网络工程专业人才培养的特色。
围绕网络工程专业3个方向和6种能力的培养,我们设计了如图2所示的示范课程体系。该体系由专业基础课程、专业核心课程、专业扩展课程和专业实践课程组成。
1.专业基础课程。首先,由于网络系统仍然是一个特殊的计算机系统,网络系统的基本原理、硬件与软件体系结构等与一般的计算机系统一脉相承,所以,网络
图2网络工程专业示范课程体系
工程专业的基础课程应继承计算机科学与技术的基本理论和基本原理。其次,数据通信是网络的基本功能,通信技术是网络工程专业区别于计算机科学与技术专业的重要标志,所以网络工程专业课程体系必须涵盖通信工程的基本理论和基本原理。最后,电子技术是计算机科学与技术和网络工程等专业硬件系统基础,所以,网络工程专业课程体系也必须继承电子技术的基本理论和基本原理。综上所述,专业基础课程必须包涵电子技术基础、通信技术基础、计算技术基础和计算机系统基础等多个学科基础,以体现该专业多学科交叉综合的需求。
2.专业核心课程。作为3个专业方向都必须修学的知识,必须覆盖网络领域的基本原理、基本方法和基本技术,为各方向的深入学习和能力培养奠定扎实的专业基础。专业核心课程由5门课程组成,覆盖了计算机网络基本原理、网络应用系统开发方法、组网与系统集成基本技能、网络管理和网络安全基本原理等内容。
3.专业扩展课程。为了加强各专业方向的核心能力培养,对每个专业方向设计了一组扩展课程。其中,网络设计方向的学生需要具备的核心能力是网络系统的设计与研发能力,必须熟练掌握网络路由与交换技术、嵌入式技术、计算机系统体系结构、网络协议设计与分析和软件工程等相关原理与技术。组网工程方向的学生需要具备的核心能力是网络系统集成能力,必须熟悉Linux操作系统、传感器与物联网技术、项目管理技术等相关原理与技术。网络管理与网络安全方向的学生需要具备的核心能力是网络故障维护、网络性能分析、网络安全防护等能力,必须掌握网络测试与性能评价、网络故障诊断与维护、信息安全基础等相关原理与方法。
4.专业实践课程。为了使学生加深对所学原理的理解和掌握,培养综合运用所学知识解决实际问题的能力和创新的能力,在实践环节中可包括以下5个层次的实验与训练:(1)网络原理验证类实验;(2)网络设备与网络系统操作配置类实验;(3)网络应用系统设计类实验;(4)专业方向综合课程设计与学科竞赛、创新实验计划;(5)毕业实习和毕业设计训练。
参考文献:
[1]徐明,曹介南等.高等学校网络工程专业培养方案[m].北京:清华大学出版社,2011.
[2]蒋宗礼.计算机类专业人才专业能力构成与培养[J].中国大学教学,2011(10).
[3]陈鸣,胡谷雨等.网络工程专业教学体系的创新与实践[J].计算机教育,2009(19).
[4]徐明,曹介南.网络工程专业课程体系研究与实践[J].计算机教育,2009(10).
[5]蒋宗礼.以能力培养为导向提高计算学科教育教学水平[J].中国大学教学,2008(8).
[6]蒋宗礼.计算机科学与技术专业核心课程教学实施方案研究[J].中国大学教学,2010(10).
[7]常欣,袁华等.网络工程专业定位与教学体系的创新模式探索[J].计算机工程与科学,2010(a1).