网络安全管理规划范文
前言:我们精心挑选了数篇优质网络安全管理规划文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
第1篇
关键词:网络管理;网络安全;规划;实施
Abstract: The main content of this paper, the computer network management network management planning and implementation of network security system construction, design and the main network security technologies are briefly analyzed and explained.
Key words: network management; network security; planning; implementation
中图分类号:TN711
一、网络管理的内容和组成
网络管理就是指监控、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。总体而言,网络管理通常会包括配置管理、故障管理、性能管理、安全管理、计费管理五个内容。配置管理是对设备和系统进行各类网络参数的定义和设置。故障管理是查找并解决因硬件和软件问题而引起的网络故障[1]。性能管理是使用特定的管理软件和设备对系统运行效率进行监测,通过监测数据的统计分析作为网络系统改进和升级的依据。安全管理则涉及数据私有性管理、授权管理、访问控制、加密管理和安全日志管理等多个安全内容。计费管理主要记录用户对网络资源的使用情况(流量,时间,空间等),计算用户占有网络系统资源的各项费用和总计费用(如上网流量、网吧计时、邮箱计费)用户额度用完后能自动停止服务。二、做好网络管理的结构规划
网络系统建成后,作为网络管理员,必须对网络的特性详细了解,并做成详细的结构图和参数表,以备做好网络管理的规划。主要包括以下部分:
勾画整体网络结构和组成部分;
勾画核心设备的网络结构;
描述以上两部分的网络参数。
整体网络结构是整个网络各部分、各网段内部和相互之间连接情况的勾画.包括局域网、园区网、广域网、互联网等等。在图中应详细的标注设备名称、型号和网络参数。如下图1某企业整体网络结构示例。
图1 某企业整体网络结构示例
核心设备的网络结构需要勾画出核心网络设备(中心交换机、中心路由器)的内部网络结构,包括VLAN、IP,子网、物理和逻辑组件,以及各组件之间的关联。
然后是启用SNMP,包括交换机、路由器以及服务器的SNMP。Windows SNMP服务是作为系统的一个组件添加,在Service管理中可以对SNMP的安全进行设置。
能够熟练操作和使用网络管理软件。网络管理软件一般由设备厂商提供或由第三方提供。设备厂商提供的软件通常专用于该产品系列的配置和管理,不能用于其他厂商产品。第三方网管软件能实现对多数厂商产品的性能管理或部分配置管理。如HP OpenView, Solarwinds. 网管软件有Client/Server和Browser/Server两种结构模式。C/S是传统的网管配置模式,需要安装专门的管理软件才能管理和配置相应的设备。如: Nortel DM设备管理软件;HP OpenView; 天融信防火墙配置软件;SolarWinds综合网管平台等。B/S是现代的网管配置模式,无须安装管理软件,直接使用浏览器管理和配置设备。如:Netscreen防火墙;EDIMAX交换机;宽带路由器等。
重点对Web网管技术做一分析说明。基于Web的网管(Web-Based Management,WBM),包括分布式和集中式管理两种。分布式只管理单个逻辑设备;集中式WBM是机运行WBM的网管软件,周期性地轮询网络节点和设备[2]。机介于浏览器和网络设备之间,负责将收集到的网络信息传送管理员的浏览器。集中式这种方式适用于集中管理大中型网络,如HP OpenView ,CiscoWorks都支持WBM。
远程控制与管理是网络管理的重要方式。远程控制是指在本地计算机上通过远程控制软件发送指令给远程的计算机,使得远程的计算机能够完成一系列工作。远程控制软件包括:服务端软件和控制端软件。工作机制是通过网络,远控软件在两台计算机之间建立起一条数据交换通道,控制端只是负责发送指令和显示远程计算机执行程序的结果,实际的运行过程均在远程计算机上完成的。
三、网络监测是网络安全管理的前提
网络监测是网络管理和网络安全的重要组成部分。通常利用网络监测软件对网络实时动态掌控。这里介绍几种常用的网络监测软件。MRTG(MultiRouter Traffic Grapher)是基于SNMP的网络流量统计工具。它耗用的系统资源很小,因此有很多外挂的程序也依附在MRTG下。通过SNMP协议从设备得到其流量信息,并将流量负载以包含JPEG图形的HTML文档直观地显示。MRTG记录网络接口 5分钟/日/月/年的流量图形。IPSentry是周期性轮循检测网络节点通断或主机上运行的业务,自动产生HTML格式的检测结果,并按日期记录log文件,这些log文件可以被导入到数据库中,按任意时间段做出网络统计报表。报警方式主要是当检测的服务故障时,IPSentry可以通过播放声音,或 EMAIL, 或拨打电话(短信),或运行其它软件来提醒管理员。IP Monitor(网络数据收发/错误实时统计)能实时图形显示本地IP的TCP、UDP和ICMP协议的接收、发送和错误数据报的数目。Hosts Monitor(网络节点通断监测)最大的应用就在于它可周期性的ping网络节点并在故障或恢复的时候通知管理员。SNIFFER 是利用计算机网络接口截获数据报文的一种工具。SNIFFER主机的网卡处于promiscuous(混杂模式)的状态,这样接收到同一网段(同一个冲突域)的每个信息包。所以也就存在着SNIFFER可以用来捕获密码,EMAIL信息,秘密文档等一些其他没有加密的信息,这成为黑客们常用夺取其他主机的信息和控制权的方法。Sniffer工作在网络环境中的底层,Sniffer主机的网卡具备“广播地址”,它对所有探测到的数据帧都产生一个硬件中断以便提醒操作系统处理网卡接收到的每个报文。四、网络安全的规划和实施网络安全管理体系包括网络鉴别、加密、访问控制、病毒防范以及安全管理五部分内容。具体的的管理目标如图2所示。
图2 网络安全体系
网络安全管理的目的是阻止非法身份对网络运行造成破坏,影响网络正常运行。网络安全设计流程如图3所示。
图3网络安全设计流程
下面我们对一些主要的网络安全技术做一简要说明。网段分离技术是把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。
路由安全是一是路由子网的限制,把不需要作信息交换的网段路由屏蔽或删除掉。二是设置ACL访问列表控制,实现对IP层、TCP层、UDP层数据包的过滤,避免非法数据包通过。
加密和传输。因为多数应用都是采用口令来确保安全,口令需要通过网络传输,并且作为数据存储在计算机或网络设备中。如果用户口令以明文形式传输,一旦被网络侦听工具(如Sniffer)窃听,绝大多数的安全防范措施将会失效。
日志分析,完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败登陆次数很高,就可能是入侵者正在尝试该用户的口令。
关闭不必要的应用。任何非法的入侵最终都需要通过被入侵主机上的服务程序来实现,因此,关闭没有必要运行的服务也是保证主机安全的措施之一。
数据库安全。修改缺省的连接端口,避免被专门诊听数据库的工具捕获口令.如SQLSniffer可以窃听SQL Server TCP1433端口。避免通过网络直接使用数据库超级用户,一旦它的口令泄露,数据库就毫无安全可言。对每个应用设置单独的数据库帐号和最少够用的权限才能有效保障数据库的安全。不要对非授权的网段开放路由,敏感数据库服务器上最好使用静态路由设置, 用Route add / delete控制服务器允许连接的网络IP。
总结:
计算机网络管理和网络安全措施是保证网络系统正常运行的重要保障。网络系统建成后,必须通过网络整体结构图对网络进行管理和安全规划并做好具体的实施工作。网络管理的内容众多,网络安全涉及到网络多个层面的安全保障工作,网管人员必须进行全面考虑,通过科学的管理,有效的管理软件以及全面的安全措施保障网络系统的正常运行。参考文献:
第2篇
关键词:企业网络规划;网络安全;安全管理
随着互联网技术的发展,企业网络规模不断扩大,企业网的运行安全性更加重要。但是企业网运行中安全时间频繁出现,严重影响企业业务的发展,保障网络安全已经成为企业迫切需要解决的问题。
1企业网络规划和安全管理需求分析
公司网络系统成立初期以经营业务为主,建网时间长,部分设备陈旧,网络不安全因素来自本身安全缺陷和认为因素。企业网络均由单个节点构成,所有的工作站和服务器通过双绞线联入交换机。信息中心部署在信息部,形成星状网络结构。每层办公地方设置节点。信息点分布需求方面,每层办公楼设置节点,与信息面板连接。在网络规划中,需要满足企业网的需求,一方面实现网络隔离技术限制部门的访问,另一方面实现防火墙技术配置策略设置规则。同时网络信息的传输要求能够实时监控。网络上资源的访问通过资源具有的IP地址实现,地址划分应该满足简单性原则、连续性原则,地址分配剂量简单,避免采用复杂掩码,同一区域需要采用连续分配网络地址方便管理。
2网络规划设计
网络拓扑结构设计分为核心层、接入层和边界层,核心层由三层交换机组成,接入层由二层交换机组成,边界层设计中,需要使用入侵检测系统和防火墙系统保证安全。公司与下属公司的信息安全传输通过专用网连接VPN实现。IP地址分配。将企业各个部门划分为独立的VLAN,并配置相应的网关和网段,为方面增加日后信息点,不划分子网,采用子网掩码方式。行政部IP地址172.16.10.0/24,方案所IP地址172.16.11.0/24,建筑所IP地址172.16.12.0/24,结构所IP地址172.16.13.0/24,给水排水所IP地址172.16.21.0/24,暖通所IP地址172.16.16.0/24,电气所IP地址172.16.17.0/24。核心层和接入层设备配置Vlan,创建核心交换机,制定名字,进入配置模式,制定IP地址,配置STP、ACL、DHCP,并配置聚合链路。企业内网都可以访问互联网,内网交换机设置中采用防火墙策略,路由器和防火墙建立IPSECVPN隧道,遵守最小介入原则优化和细分安全策略。先进入到防火墙端口,核心层三层交换机连接防火墙s3g,核心二层交换机连接防火墙s3g2,由于核心层承接企业核心业务,因此将接口等级设置为高安全等级,并且将连个接口设置在trust区域中。外来用户访问来自外网,属于非信任区,因此将安全等级设定为低等级。设置防火墙静态路由器,保证内网服务区能够通过防火墙访问外网。配置防火墙策略路由器,根据优先等级设置链路,链路切换通过探测机制实现。设置防火墙安全策略,将不同区域设定为不同的安全等级和IP地址。配置防火墙VPN,在总部防火墙和下级防火墙建立IPSeeVPN隧道。入侵检测系统实现信息传输监控,并能够终端隔离有害信息。在建设初期将检测系统设定为透明桥模式。终端和服务器安全管理系统设置中,设置补丁管理、终端桌面管理、文件审计管理等,防治ATP攻击,过滤恶意URL,加速补丁修复,管理资产、单点维护,实现移动存储管理等。
3安全管理分析
利用网络安全性技术保护网络系统安全。网络系统安全管理设计中分析系统安全技术,从硬件设计、非法用户入侵、网络安全等角度进行分析。硬件设备安全是保证系统安全可靠的基础,系统硬件设备组成部门包括工作组交换机、服务器、工作站等,硬件设备的安全性还取决于设备本身的性能。数据中心机房安全设计中,要求根据实际情况进行装修,设置接地和防雷装置,并配备UPS。总配线设置中应充分考虑电磁干扰因素,机房温度适宜,湿度维持在30~50%。在机房设置独立接地系统,安装合适接地端子,要求天花板高度在2.5米以上。安全管理做好病毒防护工作。利用全范围企业防毒产品,集中保护网络电脑,采用病毒防护技术、程度内核安全技术保护数据。病毒防护方案中实施统一监控和分布式的部署方式,公司根据实际情况制定防病毒策略和计划,总公司负责全网病毒定义码、将升级文件分配到相应的服务器。提交被隔离的文件,并进行扫描引擎。通过广域网集中控制和管理病毒管理服务器,在必要时,直接管理下级公司病毒服务器。针对公司线以后的管理体制和系统架构,设计二级管理中心来复杂病毒防护系统的实施。公司复杂局域网防病毒软件安装,制定防病毒策略,监控局域网防病毒状态,下属负责自己局域网监控,并作出响应。建立统一分级管理病毒管理体系,用来存储网络病毒事件,了解病毒发生地方、过程、事件、危害以及处理等。同时在管理中心成立响应中心和安全事件管理中心,根据网络可能需求部署安全产品,如入册检测系统、防火墙、扫描系统等。同时建立垃圾邮件过滤系统方案,外部发来邮件先经过DNS解析后发送至IMSS,有效查杀邮件传播病毒。对设计系统进行测试和维护,测试结果显示网络规划能够确保挽留过安全。在后期维护中主要负责网络正常运转。
4结语
综上所述,文章在分析企业网络需求基础上进行网络规划,满足企业网安全需求,实现交互数据交换。企业网络规划安全管理中,安全管理最为企业重要组成部分,同样需要建立管理制度,促使员工遵循使用规则,避免病毒入网。
引用:
[1]关天柱.中小型企业网络规划及安全管理的研究[J].电脑知识与技术,2010,06(9X):7197-7198.
[2]甘丽,胡昊.中小企业内网安全管理的研究与实现[J].计算机技术与发展,2013(8):122-124.
第3篇
关键词:网络安全;地面测发控
中图分类号:TP311
我国航天研制、发射任务日益增加,信息环境复杂、多样,导致测发控信息暴露于越来越多、越来越广的威胁和脆弱性当中,测发控信息资产需要加以适应的保护。同时,测发控网络系统建立年代较早,其网络安全性设计与意识远远落后。因此,保障网络正常安全运行并建立测发控网络安全管理系统是测发控网络的工作重点,加强网络安全管理迫在眉睫。
1 测发控网络安全现状
目前,网络安全防护采用“技术30%,管理70%”的布局,偏颇管理和加强人员网络安全意识的效力,并且技术上仅通过采用杀毒软件、防火墙以实现网络安全防护,技术措施单一,缺乏解决深层次网络安全问题和威胁的能力。现有测发控网络安全图如图1所示。为此,从系统综合整体的角度去看待、分析,在提供灵活且高效的网络通讯及信息服务,组成并协调建立地面测发控网络安全系统已事在必行。
2 新型网络安全管理系统
2.1 新型网络安全管理功能
测发控网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。进行网络安全体系建设,要综合考虑、注重实效,在考虑网间安全、防火墙、病毒查杀、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,才可能最大限度的构建和谐、干净的测发控网络环境。测发控网络安全管理系统主要实现以下功能:
(1)对测发控网络分系统工作站进行集中的安全保护、监控、审计和管理;
(2)防范非法设备接入内网,确保测发控网络内网安全;
(3)整体规划测发控网络与设备的网络传输行为的计算机网络安全设备;
(4)建立网间防护,保证各分系统与C3I、异地协同网络之间的网间安全;
(5)安全隔离与信息交换与数据加密,保障测试数据在网络传输过程中可靠完整;
(6)测发控网络设备与工作站等资产的统一配置、监控、预警、评估、响应,策略、检测、防护,实现安全资产和安全信息的归一化等功能。
2.2 测发控网络安全管理系统组成
立足现有测发控网络现状,结合远期异地协同规划,测发控网络安全管理确保在安全、可靠和保密的网络环境下完成测试任务,帮助各分系统网络设备使用统一优化、规范管理,并在远期实现与北京总部的异地协同项目加强网间安全。
测发控网络安全管理系统
(1)安全防护子系统。安全防护子系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
安全防护子系统由客户端模块、服务器模块、控制台三部分组成。客户端模块对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户模块发送指令。
(2)网间防护子系统。采用安全边际技术,通过防火墙、防病毒墙、入侵防护等技术,整体规划测发控网络或网络设备的网络传输行为的计算机网络安全设备,增加子网与网间安全,实时动态保护技术以全面、有效地保护网络不受侵害,使测发控网络与异地协同网络实现数据交换。
(3)数据加密子系统。通过安全隔离与信息交换与数据加密,保障数据在网络传输过程中可靠完整,保护关键业务的机密数据安全,同时保障数据在传输过程中不被破坏和恶意窃取。网络加密机制建立可信的安全连接,保证数据的安全传输,实现安全通信的虚拟专用线路,提供全面、可靠、安全和多层次的数据保护。
(4)管理配置子系统。以资产设备为中心,通过策略配置、设备监控、审计预警、态势评估、安全响应的全流程管理,进行安全资产和安全信息的归一化处理、监控、分析、审计、报警、响应、存储和报告等功能。管理配置子系统采用三层分布式体系结构,主要由被管对象层、管理中心层、控制台层组成。
3 结论
新型地面测发控网络安全管理系统立足现有测发控网络,解决现有病毒查杀费时费力、网络设备与存储介质的管理失控、各分系统应用软件安装不受控、IP地址更改随意等现状;结合异地协同项目,完善管理配置子系统网间防护子系统,统筹规划各分系统子网与C3I之间的网络架构,消除网络边际隐患。同时,建立集中安全信息管理系统;加强应用覆盖范围。
新型网络安全管理系统以测发控网络为基点,重新规划、提高和完善测试环境,从软件和硬件上采取控制措施以避免安全漏洞,提高测发控网络安全水平,在测发控网络中具有极为重要的意义。
参考文献:
