網絡安全方案模板(10篇)
時間:2022-08-05 10:52:34
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇網絡安全方案,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
在現代企業的生存與發展過程中,企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展,但過去企業網絡處于一個封閉或者是半封閉的狀態,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素,自然給企業網絡安全帶來了更多的威脅。因此,企業網絡安全防護一個永無止境的過程,對其進行研究無論是對于網絡安全技術的應用,還是對于企業的持續發展,都具有重要的意義。
1企業網絡安全問題分析
基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面。
1.1網絡設備安全問題
企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備,時常會發生安全問題,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息,進而給企業帶來不可估量經濟損失。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。
1.2服務器操作系統安全問題
隨著企業規模的壯大以及企業業務的拓展,對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為,但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查,任何電腦都可在信號區內接入到無線網絡。
2企業網絡安全防護方案
基于上述企業網絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。
2.1網絡設備安全方案
企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提,為了提高網絡設備的整體安全指數,可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。
2.2服務器系統安全方案
企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。
2.2.1操作系統漏洞安全
目前企業網絡服務器操作系統以Windows為主,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統、安裝系統補丁外,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統部署在核心交換機的監控端口,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統
2.2.2Windows端口安全
在Windows系統中,端口是企業實現網絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業網絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看,大多數都要通過服務器TCP/UDP端口,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現訪問控制。通過對IIS配置,可實現對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學。(3)NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統,安全性能更高。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。
2.3網絡結構安全方案
2.3.1強化網絡設備安全
強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。(2)網絡設備登錄安全。為了保證網絡設備登錄安全指數,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網的安全性。
2.3.2細分網絡安全區域
目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題,可對整個網絡進行細分,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段,在每個網段均有不同的vlan,從而保證安全性。
2.3.3加強通問控制
針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通;對內服務器需要與互聯網隔離;體驗區只能訪問互聯網,不能訪問辦公網。以上功能的實現,可在核心路由器和防火墻上共同配合完成。
篇2
2.網絡防火墻系統設計方案
網絡安全是按照網絡協議(TCP/IP協議)的2-7層來進行劃分的,要想保證網絡的安全,就一定保證網絡協議的2至7層每一層的安全。而防火墻負責的是網絡協議2至4層的網絡安全。以下為防火墻可以實現的功能:第一,網絡隔離。將網絡分割為不同的網絡區域,進而控制不同區域之間的數據交流,作用于網絡協議的2-4層,把可能出現的安全風險分別局限于相對獨立的網絡區域內,使風險不至于大規模擴散。第二,網絡協議2至4層防范攻擊的能力。TCP/IP協議本身存在弊端,沒有考慮到足夠的安全特性,因此,給網絡用戶帶來了諸如IP地址竊取、IP地址假冒等非常大的安全隱患,而防火墻可以彌補TCP/IP協議本身的漏洞,能夠有效地檢測和防范對2至4層的攻擊行為。第三,流量管理。首先為了保證關鍵用戶和關鍵應用的網絡帶寬,防火墻可以提供靈活的流量管理能力,同時要保證數據傳輸的質量。另外,還可以對4至7層的常見網絡協議提供某些控制和過濾的能力,例如,可以支持EMAIL的過濾能力。第四,用戶管理。學校檔案系統內部用戶接入外網Internet,在不影響正常業務需要的情況下,控制用戶對外網的應用行為。例如,控制上網時間,不可訪問網站,禁用一些軟件的網絡端口等等。
3.網絡入侵防御系統設計方案
防火墻只針對網絡安全2至4層,難以防御對網絡協議4至7層的網絡威脅,不可能識別出偽裝成正常業務的蠕蟲、攻擊、間諜軟件等的非法數據流,缺乏對經過自身的數據流進行全面、深度監測的能力。入侵防御系統(IPS)就是專門針對網絡協議的4至7層對數據流進行分析并實時采用防御措施的系統,與防火墻進行安全層次的互補,豐富了網絡傳輸過程中的安全層次,對于在阻止蠕蟲病毒的傳播、黑客攻擊等方面起到重要的作用。在網絡中部署防火墻+IPS,可使網絡更加安全、健壯,更好地抵御來自外部網絡的威脅。
4.外網主網絡設計
為了保證檔案系統網絡數據安全,需要通過網閘使內網、外網進行“網絡隔離”,并進行安全的數據交換。檔案數字化管理系統內網數據區含有大量的敏感數據及數據,互聯網用戶及高校外網用戶訪問內網數據區數據,對數據區形成了嚴重的威脅,通過部署網閘,在保證內網數據區數據安全的前提下實現業務的正常訪問,并使內網數據免遭竊取與破壞。本文來自于《遼寧醫學院學報(社會科學版)》雜志。遼寧醫學院學報(社會科學版)雜志簡介詳見
篇3
當前網絡技術的快速發展,大部分高校已經建立了學校校園網絡,為學校師生提供了更好的工作及學習環境,有效實現了資源共享,加快了信息的處理,提高了工作效率【1】。然而校園網網絡在使用過程中還存在著安全問題,極易導致學校的網絡系統出現問題,因此,要想保證校園網的安全性,首先要對校園網網絡安全問題深入了解,并提出有效的網絡安全方案設計,合理構建網絡安全體系。本文就對校園網網絡安全方案設計與工程實踐深入探討。
1.校園網網絡安全問題分析
1.1操作系統的漏洞
當前大多數學校的校園網都是采用windows操作系統,這就加大了安全的漏洞,服務器以及個人PC內部都會存在著大量的安全漏洞【2】。隨著時間的推移,會導致這些漏洞被人發現并利用,極大的破壞了網絡系統的運行,給校園網絡的安全帶來不利的影響。
1.2網絡病毒的破壞
網絡病毒是校園網絡安全中最為常見的問題,其能夠使校園網網絡的性能變得較為低下,減慢了上網的速度,使計算機軟件出現安全隱患,對其中的重要數據帶來破壞,嚴重的情況下還會造成計算機的網絡系統癱瘓。
1.3來自外部網絡的入侵和攻擊等惡意破壞行為
校園網只有連接到互聯網上,才能實現與外界的聯系,使校園網發揮出重要的作用。但是,校園網在使用過程中,會遭到外部黑客的入侵和攻擊的危險,給校園互聯網內部的服務器以及數據庫帶來不利的影響,使一些重要的數據遭到破壞,給電腦系統造成極大的危害。
1.4來自校園網內部的攻擊和破壞
由于大多數高校都開設了計算機專業,一些學生在進行實驗操作的時候,由于缺乏專業知識,出于對網絡的興趣,不經意間會使用一些網絡攻擊工具進行測試,這就給校園網絡系統帶來一定的安全威脅。
2.校園網網絡安全的設計思路
2.1根據安全需求劃分相關區域
當前高校校園網都沒有重視到安全的問題,一般都是根據網絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現校園網的安全性。將校園網絡分為不同的安全區域,并對各個區域進行安全設置。其中可以對高校校園網網絡安全的互聯網服務區、廣域網分區、遠程接入區、數據中心區等進行不同的安全區域。
2.2用防火墻隔離各安全區域
通過防火墻設備對各安全區域進行隔離,同時防火墻作為不同網絡或網絡安全區域之間信息的出入口,配置不同的安全策略監督和控制出入網絡的數據流,防火墻本身具有一定的抗攻擊能力。防火墻把網絡隔離成兩個區域,分別為受信任的區域和不被信任的區域,其中對信任的區域將對其進行安全策略的保護,設置有效的安全保護措施,防火墻在接入的網絡間實現接入訪問控制。
3.校園網網絡安全方案設計
3.1主干網設計主干網可采用三層網絡構架,將原本較為復雜的網絡設計分為三個層次,分別為接入層、匯聚層、核心層。每個層次注重特有的功能,這樣就將大問題簡化成多個小問題。
3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網是一項廣泛使用的基礎,將其應用于校園網絡當中,能夠有效的實現虛擬網的劃分,形成一個邏輯網絡。使用這些技術,能夠優化校園網網絡的設計、管理以及維護。
3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能,而且還有交換機支持的訪問控制列表功能。應用于校園網絡當中,能夠合理的限制網絡非法流量,從而實現訪問控制。
3.3防火墻的使用防火墻是建立在兩個不同網絡的基礎之間,首先對其設置安全規則,決定網絡中傳輸的數據包是否允許通過,并對網絡運行狀態進行監視,使得內部的結構與運行狀況都對外屏蔽,從而達到內部網絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面:一是防火墻能夠把內、外網絡、對外服務器網絡實行分區域隔離,從而達到與外網相互隔離。二是防火墻能夠將對外服務器、網絡上的主機隔離在一個區域內,并對其進行安全防護,以此提升網絡系統的安全性。三是防火墻能夠限制用戶的訪問權限,有效杜絕非法用戶的訪問。四是防火墻能夠實現對訪問服務器的請求控制,一旦發現不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄,有助于完善審計體系。
4.結語
總而言之,校園網絡的安全是各大院校所關注的問題,當前校園網網絡安全的主要問題有操作系統的漏洞、網絡病毒的破壞、來自外部網絡的入侵和攻擊等惡意破壞行為、來自校園網內部的攻擊和破壞等【4】。要想保障校園網網絡的安全性,在校園網網絡安全的設計方面,應當根據安全需求劃分相關區域,用防火墻隔離各安全區域。設計一個安全的校園網絡方案,將重點放在主干網設計、安全技術的應用以及防火墻的使用上,不斷更新與改進校園網絡安全技術,從而提升校園網的安全性。
作者:金茂 單位:杭州技師學院
參考文獻:
[1]余思東,黃欣.校園網網絡安全方案設計[J]軟件導刊,2012,06:138-139
篇4
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)13-0153-01
學籍管理制度是一項基本的教育管理制度,學籍管理是學校和教育行政部門重要的日常工作。為規范中小學學生學籍管理,加快推進中小學學生學籍管理信息化工作,某省教育廳決定組織建設省級中小學學籍管理系統平臺,實現義務教育階段、高中教育階段的學籍管理信息化、網絡化和規范化,為教育規劃、行政決策提供了科學的依據,并為省內其他教育業務管理系統提供所需的基礎數據服務。
1 物理安全
我們認為,物理安全是系統安全的第一道關口,所以,我們采取嚴格的中心機房建設和管理規范,采取雙回路UPS供電和嚴格的防火、防盜、防靜電、防雷擊等措施,對進入中心機房的人員進行嚴格管理。網絡線路盡可能進橋架、管道,注意設備的安裝環境,特別是室外設備的物理安全。
2 接入安全
為了保證內部網的安全,防止外部對內部網絡的攻擊,我們在網絡邊界部署一臺華為USG 3030防火墻,USG 3030華為公司新一代網關型安全防護設備,基于華為專業的硬件平臺以及強大的VRP軟件平臺,不僅具備優異的攻擊防范處理能力,而且能夠提供完善的虛擬專網(VPN)功能以及完備的地址轉換(NAT)功能,實現基于安全區域的隔離和防護。我們在防火墻中制定了如下規則:允許外部網絡訪問我們DMZ區的WEB SERVER及 MAIL SERVER,但只能訪問幾個特定的端口,如80/tcp(http),25/tcp(smtp),110/tcp(pop3)等,允許內部網絡訪問DMZ區和外部網絡;拒絕所有的外部IP地址對內部網絡的訪問,拒絕DMZ區對內部網絡的訪問;內部網絡有限制的訪問數據庫服務器和文件服務器;為出差人員建立了安全、可靠的VPN通道,他們可以通過VPN方式接入到內部網絡。這樣,首先可以保證我們的學籍管理系統對外服務不受影響,同時可以保證我們內部系統的安全。
3 虛擬網絡(VLAN)劃分
內部網絡的核心交換機采用一臺華為S5328C-EI三層交換機。該交換機能夠識別和處理四到七層的應用業務流,能根據不同的業務流進行不同的管理和控制。我們使用華為S5328C-EI三層交換機將內部網劃分為10個VLAN,VLAN 1-VLAN 8分配給不同的科室和部門,VLAN9分配給信息中心,VLAN10分配給內部服務器組(數據庫服務器和文件服務器),不同的VLAN之間通過三層交換機通訊,并根據實際需要設置不同的訪問權限;通過合理劃分VLAN,隔離了不同VLAN之間的廣播包,提高了網絡的性能,同時大大增強了內部網絡的安全性
4 防病毒技術
為實現病毒的全面防范,我們部署了瑞星殺毒軟件網絡版 2008。首先,在信息中心建立一個一級系統中心,在科室和其他部門分別建立二級系統中心。上級中心統一發送查殺病毒命令、下達版本升級提示,并及時掌握全部系統中心的病毒分布情況等。另外,下級中心既可以在收到上級中心的命令后做出響應,也可以管理本級,并主動向上級中心發送請求和匯報信息。通過該系統,可實現反病毒的統一管理和分級管理。通過部署網絡版反病毒軟件,整個單位和省級數據中心的計算機受到病毒和惡意軟件破壞的情況得到明顯改善。
5 健全網絡安全管理機制
網絡安全問題不是單純的技術問題,影響網絡安全的因素有很多,但其中最重要的因素是人的因素。在省級數據中心建成之后,我們制訂了網絡安全管理辦法,主要措施如下:多人負責原則,每一項與安全有關的活動,都必須有兩人或多人在場,并且一人操作一人復核;任期有限原則,技術人員不定期輪崗;職責分離原則,非本崗人員不得掌握用戶名、密碼等關鍵信息;及時升級系統補丁,關閉不用的服務和端口;對重要的數據服務器,每日必須進行數據備份;管理員的密碼必須達到一定的強度并且每周修改一次等等。
目前,省級數據中心網絡系統運行良好,網絡安全狀況大大改善,網絡系統的安全性有很大程度的提高。但還存在不少問題,比如說防止網絡攻擊方面,盡管使用了防火墻,但是,對內部網絡的攻擊防范力度有限,我們計劃在下一步部署入侵檢測系統,并與防火墻實現聯動,進一步提高防范內外網攻擊的能力。網絡系統的安全是一項長期的工作,需要我們不斷地學習新技術、不斷地積累和借鑒經驗,并及時付諸實施,才能確保省級數據中心網絡系統的安全。
參考文獻
篇5
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01
1 企業內部網絡安全面臨的主要威脅
一般來說,計算機網絡系統的安全威脅主要來自以下幾個方面:
1)計算機病毒的侵襲。計算機病毒侵入網絡,對網絡資源進行破壞,使網絡不能正常工作,甚至造成整個網絡的癱瘓;
2)黑客侵襲。黑客非法進入網絡使用網絡資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網絡監聽獲取網上用戶賬號和密碼;非法獲取網上傳輸的數據等;
3)拒絕服務攻擊。例如“郵件炸彈”,使用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業務的運行。嚴重時會使系統關機,網絡癱瘓;
4)通用網關接口(CGI)漏洞。搜索引擎是通過CGI腳本執行的方式實現的,黑客可以修改這些CGI腳本以執行他們的非法任務;
5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。
2 企業網絡安全目標
1)建立一套完整可行的網絡安全與管理策略,將內部網絡、公開服務器網絡和外網進行有效隔離;2)建立網站各主機和服務器的安全保護措施,保證系統安全;3)對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度,全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網絡、公開服務器的訪問行為,形成完整的系統日志備份與災難恢復;6)提高系統全體人員的網絡安全意識和防范技術。
3 安全方案設計原則
對企業局域網網絡安全方案設計、規劃時,應遵循以下原則:
1)綜合性、整體性原則:應用系統工程的觀點、方法,分析網絡的安全措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
2)需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定必要。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略,是比較經濟的方法。
3)一致性原則:網絡安全問題貫穿整個網絡的生命周期,因此制定的安全體系結構必須與網絡的安全需求相一致。在網絡建設開始就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,要有效得多。
4)易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。
5)分步實施原則:由于網絡規模的擴展及應用的增加。一勞永逸地解決網絡安全問題是不現實的,費用支出也較大。因此可以分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。
6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息安全。
4 主要防范措施
1)依據《互聯網信息服務管理辦法》、《互聯網站從事登載新聞業務管理暫行規定》和《中國互聯網絡域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網絡安全教育和培訓。
2)網絡病毒的防范。作為企業應用網絡,同時需要基于服務器操作系統平臺、桌面操作系統、網關和郵件服務器平臺的防病毒軟件。所以最好使用全方位的防病毒產品,通過全方位、多層次的防病毒系統的配置,使網絡免受病毒的侵襲。
3)配置防火墻。防火墻是一種行之有效且應用廣泛的網絡安全機制。利用防火墻執行一種訪問控制尺度,將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,同時防止Internet上的不安全因素蔓延到局域網內部。
4)采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,用于檢測計算機網絡中違反安全策略行為。利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。最好采用混合入侵檢測,同時采用基于網絡和基于主機的入侵檢測系統,構架成一套完整立體的主動防御體系。
5)漏洞掃描系統。解決網絡安全問題,要清楚網絡中存在哪些安全隱患、脆弱點。僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估顯然是不現實的。能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具是較好的解決方案,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
篇6
前言
電力調度數據網絡在電力系統的運行中起到不可忽視的重要作用,良好的電力調度數據網絡環境有效保證電網經濟、安全、可靠、穩定的運行,為電力系統中的電力生產、燃料調度、水庫調度以及電網調度自動化、繼電保護等提供了便捷的通信條件,它為電力企業的生產與管理提供了良好保障。為了滿足基于虛擬專用網的電力調度數據網絡的安全性需求,相關技術人員要不斷在實際工作中總結經驗,設計出合理、科學的安全方案,以保證電力調度數據網絡更好地服務于企業,為企業帶來更多的經濟效益。
1電力調度數據網絡建設的必要性
隨著經濟社會的快速發展,各種現代化管理方式應運而生,電網管理方式的創新與管理水平的提高,帶動了電力調度業務的發展,良好的電力調度數據網絡能夠有效保障電網系統的安全性與經濟性,確保電網運行的穩定性。目前我國電力調度數據業務還局限在傳統模式上,運用的是傳統的數字專線模式,這種傳統電力調度數據模式使信息共享受到阻礙,造成了通信資源的浪費,隨著各種高科技產品的生產,各種電力調度業務不斷上線,對電網通道資源與數據共享的需求也逐漸增高。只有建設良好的電力調度數據網絡,才能保證電力系統的經濟性與安全性。
1.1電力調度數據網絡建設是自動化系統發展的需要
人們在經營各種生產生活等的活動中,都離不開電網的支持,為了更好地適應電網的發展需求,調度自動化系統在其功能上得到不斷的改進和完善,除了安全自動裝置、繼電保護以及傳統的調度自動化系統之外,一些現代化的系統諸如配網自動化系統、電能量計量系統、無人值班變電站監控設備等逐漸應用到電網系統中,這些新型系統設備的有效運用,使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加,各個調度系統之間要進行更多的信息共享與數據轉換,這就對通信網絡的要求越來越高,傳統的通信網絡在傳統實時數據時其數量和質量都受到了很大的局限,不能夠再適應現代電網自動化應用系統的需求。建立安全的基于VPN的電力調度數據網絡,在一些地區已經得到運用,其運行情況很好,對信息數據的傳輸速率與質量都有了明顯的提高,有效保證了自動化應用系統的發展需求。建立一個基于VPN的電力調度數據安全網絡,能夠有效提高電網運行的信息共享程度、傳輸速率,滿足電網自動化系統發展的需求。
1.2電力調度數據網絡建設是提高實時數據傳輸可靠性的需要
目前我國一些電力系統變電站的實時監控信息采用的是模擬和數字專線通道與地調調度自動化系統相結合的通信方式,每臺終端設備和地調之間要獨自單用一條或者是兩條專用的數據通道。這種采用模擬和數字專線通道與地調調度自動化系統進行通信的模式在通信傳輸時速率普遍較低,傳輸的信號會受到通道較大的干擾,傳輸的數據不穩定,也沒有網絡層間的保護系統,如果數據通道出現故障,那么數據信息就會立即丟失并且不能夠進行數據的恢復,這種點對點的傳輸方式需要在主站端設置較多的接口設備,由于操作配置的復雜性,使其在后期維護時工作量增大。建立電力調度數據網,能夠實現調度生產應用系統的網絡性模式,通過直接上網的方式來進行數據交換,有效的提高了信息傳輸的可靠性。基于VPN的電力調度數據網絡的建設,能夠保證信息數據傳輸的可靠性,不會因為通道出現故障而導致數據丟失的情況,主站端不必要設置大量的終端設備,方便了工作人員進行設備維護。
2基于VPN的電力調度數據網絡安全方案
基于VPN的電力調度數據網絡安全方案在設計時要遵循經濟性、流量優化、擴展性、節點可靠性以及拓撲可靠性等的原則。設計電力調度數據網絡安全方案時,在充分確保電力調度數據網絡的暢通性和可靠性的前提下,最大限度的減少網絡電路的數量、網絡電路的總里程以及寬帶,以此來盡量減小網絡的運行費用,為企業帶來更多的經濟效益。根據電力調度數據網絡的流量以及流向,在設置電路和寬帶時要保證其合理性配置,均勻的將網絡流量分布開來,保證各個電路寬帶均能充分的利用網絡流量,避免使網絡帶寬達到瓶頸,影響電力調度數據網絡的安全性。進行主干網絡的拓撲設計時,要充分遵循N-1的設備可靠性和電路可靠性原則,增加、修改或者減少網絡電路和節點時,要保證網絡的總體拓撲不受到影響。在設置網絡中各個骨干、核心的節點時,要采用雙設備配置,根據實際情況需求,進行設備的風扇、引擎以及電源燈冗余設計,注意電力調度數據網絡節點的熱插撥等特性。
在網絡設計中包括電力調度數據網絡的核心層、匯聚層以及接入層三層的設計。在核心層中進行核心路由器和核心層交換機的聯通性時,要注意保證核心層交換機的業務服務器在傳輸數據時具有不間斷性,順暢地發送到核心層路由器,再由核心層路由器再次轉發數據。核心層交換機要具備全局的地址,能夠保證網管服務器的正常訪問。核心層與匯聚層進行具體網絡的聯通時,要注意核心層交換機下聯的網絡管理服務器可以正常的對匯聚層的設備進行訪問,下聯的業務服務器能夠順利的連接匯聚層的業務地址并進行正常訪問。即使發生部分線路中斷的情況,匯聚層的各個業務地址仍然可以在冗余的網絡拓撲結構中進行數據的傳輸,或者是通過高可靠性的路由協議來完成數據的上傳,保證業務或者網管服務器正常接收數據。此外還應當注意匯聚層的不同站點業務地址不需要進行互通。電力調度數據網的核心層和骨干層的數據處理能力較強,因此在設計方案中將仿真分析集中于接入層。對于電力調度數據網絡安全方案的接入層設計,應當保證接入層中的業務流量可以進行不間斷的數據發送,接入層中的業務終端可以與核心層的業務服務器進行正常互通,接入層的網絡設備可以與核心層的網絡管理服務器進行正常的互通,只有同時達到這三個要求,才能保證接入層的網絡連通性。接入層采用的是低端網絡的嵌入式遠動監控設備,在安全方案設計中將基于IPSec的VPN內核進一步裁剪,在裁剪后的VPN安全框架中融入新的身份認證和密鑰協商算法,這樣能夠有利于新設計安全方案的實現,同時可以大幅度降低接入層設備在安全數據處理中的費用,減少電力調度數據網絡安全方案的設計投入。
3結語
總而言之,在電力系統的生產管理工作中,電力調度數據網絡起到對其的直接控制作用,電力調度數據網的重要性不容忽視。電力企業一定要重視電力調度數據網的安全性和實時性,不斷借鑒國外先進的技術,在實際運行工作中,注意總結和歸納,設計出一種合理的基于VPN的身份認證與密鑰協商相互融合的安全方案,消除電力調度數據網絡中實時性與安全性兩者之間的矛盾,使其為企業帶來更多的應用價值。
篇7
計算機網絡受到威脅后果嚴重
1.國家安全將遭受到威脅
網絡黑客攻擊的目標常包括銀行、政府及軍事部門,竊取和修改信息。這會對社會和國家安全造成嚴重威脅,有可能帶來無法挽回的損失。
2.損失巨大
很多網絡是大型網絡,像互聯網是全球性網絡,這些網絡上連接著無數計算機及網絡設備,如果攻擊者攻擊入侵連接在網絡上的計算機和網絡設備,會破壞成千上萬臺計算機,從而給用戶造成巨大經濟損失。
3.手段多樣,手法隱蔽
網絡攻擊所需設備簡單,所花時間短,某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網絡攻擊者既可以用監視網上數據來盜取他人的保密信息;可以通過截取他人的帳號和口令潛入他人的計算機系統;可以通過一些方法來繞過或破壞他人安裝的防火墻等等。
網絡安全防范技術
1.病毒的防范
計算機病毒變得越來越復雜,對計算機信息系統構成極大的威脅。在網絡環境中對計算機病毒的防范是網絡安全性建設中重要的一環。它的入侵檢測技術包括基于主機和基于網絡兩種。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網絡版防病毒系統包括:(1)系統中心:系統中心實時記錄計算機的病毒監控、檢測和清除的信息,實現對整個防護系統的自動控制。(2)服務器端:服務器端為網絡服務器操作系統應用而設計。(3)客戶端:客戶端對當前工作站上病毒監控、檢測和清除,并在需要時向系統中心發送病毒監測報告。(4)管理控制臺:管理控制臺是為了網絡管理員的應用而設計的,通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機。
2.防火墻的配置
首先我們了解防火墻所處的位置決定了一些特點包括(1)所有的從外部到內部的通信都必須經過它(。2)只有有內部訪問策略授權的通信才能被允許通過。(3)系統本身具有很強的高可靠性。所以防火墻是網絡安全的屏障,配置防火墑是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內部信任網絡和其他任何非信任網絡上提供了不同的規則進行判斷和驗證,確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標,而每個目標通常都不是通過一個單獨的設備或軟件來實現的。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。也可對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時,也能提供網絡使用情況的統計數據。當有網絡入侵或攻擊時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次,利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響,防止內部信息的外泄。
3.數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密包括傳輸過程中的數據加密和存儲數據加密,對于傳輸加密,一般有硬件加密和軟件加密兩種方法實現。網絡中的數據加密,要選擇加密算法和密鑰,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中,收發雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES、歐洲的IDEA等。
4.應用入侵檢測技術
入侵檢測系統是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析入侵特征的網絡安全系統。入侵檢測系統的功能包括:監控和分析系統、用戶的行為;評估系統文件與數據文件的完整性,檢查系統漏洞;對系統的異常行為進行分析和識別,及時向網絡管理人員報警;跟蹤管理操作系統,識別無授僅用戶活動。具體應用就是指對那些面向系統資源和網絡資源的未經授權的行為進行識別和響應。入侵檢測通過監控系統的使用情況,來檢測系統用戶的越權使用以及系統外部的人侵者利用系統的安全缺陷對系統進行入侵的企圖。目前主要有兩類入侵檢測系統基于主機的和基于網絡的。前者檢查某臺主機系統日志中記錄的未經授權的可疑行為,并及時做出響應。后者是在連接過程中監視特定網段的數據流,查找每一數據包內隱藏的惡意入侵,并對發現的人侵做出及時的響應。
5.規范安全管理行為
篇8
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
篇9
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
1 電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2 電信網絡安全面臨的形勢及問題
2.1 互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2 新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3 運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4 相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3 電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1 發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2 網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3 網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4 主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5 系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
篇10
一、公安網絡系統中存在的安全問題
1、公安系統存在問題的特征。1)系統安全問題具有動態性。隨著信息技術的飛速發展,不同時期有不同的安全問題,安全問題不斷地被解決,但也不斷地出現新的安全問題。例如線路竊聽劫持事件會因為加密協議層的使用而減少。安全問題具有動態性特點,造成系統安全問題不可能擁有一勞永逸的解決措施。2)系統安全問題來自于管理層、邏輯層和物理層,并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標方面的內容。邏輯層的安全主要涉及到信息保密性,也就是在授權情況下,高密級信息向低密級的主體及客體傳遞,確保信息雙方的完整性,信息不會被隨意篡改,可以保證信息的一致性。一旦雙方完成信息交易,任何一方均不可單方面否認這筆交易。物理層的安全涉及的內容是多個關鍵設備、信息存放地點等,如計算機主機、網絡等,防止信息丟失和破壞。
2、公安網絡系統中存在的安全問題。1)一機兩用的現象比較普遍。部分公安值班人員在公安網絡中接入自己的私人電腦,同時還包括一些無線上網設備等。外接上網設備通常安裝了無線網卡,外界侵入公安網絡的可能性增大,公安網絡的安全隱患擴大。此外,公安系統中的計算機出現故障,需要檢查維修時,沒有事先格式化計算機,導致系統計算機中的資料泄露,甚至出現“一機兩用”的情況,可以將病毒引入系統中引起信息泄露。
3、安全意識淡薄。公安網絡中的計算機存在濫用的情況,非在編的基層人員在未經允許、教育培訓的情況私自使用公安網絡,從而出現信息泄露的情況,給網絡帶來嚴重的安全隱患。此外,公安部門人員缺乏安全意識,辦公室計算機的保密性不強,安全等級不高,重要軟件、文件等均沒有進行必要的加密處理,很多人員可以隨意訪問公安網絡,降低了公安網絡中計算機及其信息的安全性。
二、網絡安全技術與公安網絡系統的維護方案
1、積極建設網絡信息安全管理隊伍。網絡安全管理隊伍對管理公安網絡具有重要作用。為提升公安網絡的安全性與穩定性,可以定期組織信息安全管理人員進行培訓,強化技術教育與培訓,增強網絡安全管理人員的責任意識,改善管理效率,提升管理水平。
2、充分運用網絡安全技術。1)防毒技術。隨著病毒的傳播速度、頻率、范圍的不斷擴大,公安網絡系統中也需要建立全方位、立體化的防御體系,運用全平臺反病毒技術、自動解壓縮技術與實時監視技術等完善病毒防御方案。為了實現系統低層和反病毒軟件之間的相互配合,達到殺除病毒的目的,公安網絡中的計算機應運用全平臺反病毒技術。利用光盤、網絡等媒介所傳播的軟件通常是以壓縮狀態存在的,反病毒軟件要對系統內部所有的壓縮文件進行解壓縮,清除壓縮包內的病毒,若不運用自動解壓技術,存在于文件中的病毒會隨意傳播。
3、提高系統的可靠性。安網絡系統中一般是以敏感性資料、社會安全資料為主,這些資料被泄漏或者損壞均會產生嚴重后果。為了提升信息資料的安全性,必須定期備份,同時還應增強系統的可靠性。此外,還應明確系統災難的原因,如雷電、地震等環境因素,資源共享中,人為入侵等,針對可能出現的系統災難,可以建立起對應的災難備份系統。災難恢復指的是計算機系統遭遇災難之后,重組各種資源并恢復系統運行。
