美章网 精品范文 网络安全规划与设计范文

网络安全规划与设计范文

前言:我们精心挑选了数篇优质网络安全规划与设计文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

网络安全规划与设计

第1篇

关键词:城域网;网络安全

前言

随着现今城域网的普遍使用,城域网方面出现的问题也越来越多,为了保证网络能够安全正常的使用,需要各部门对网络安全问题加以重视。根据网络功能的差别,可将城域网分为核心层、汇聚层和接入层这三个层次。根据业务不同,可将城域网分为接入业务、宽带上网业务及VPN业务这三种业务方式。而本文就是针对各层次出现的不同问题,进行分析讨论,并提出相关建议。

1城域网的概念分析

根据网络功能的不同,可将城域网分为核心层、汇聚层及接入层这三个层面,同时因为各层的功能不一样,所以各层网络安全问题均不一样。核心层存在的目的就是对网络数据进行快速转换,促使核心设备正常操作;汇聚层的主要工作就是保护整个网络的安全运行,并利用合理有效的方案管理网络,是整个城域网中的重中之重;而接入层则是通过对接入业务、宽带上网业务和VPN业务进行接入,以降低网络使用者对网络造成的危害。利用有效的监控手段调整网络安全,以达到网络优化的目的。

2网络安全规划设计对城域网发展的作用

2.1核心层的网络安全

城域网中的核心层,是决定网络数据能否正常快速交换的重要层次,且这一层次与多个汇聚层相连接,通过该层次与多个汇聚层进行连接,以达到网络数据间的高效转换,所以为了确保网路的正常运行,对该层次进行网络保护是比不可少的部分,增加该层的保护功能。核心层的网络安全主要考虑的问题是防止病毒入侵设备,而降低设备的操作性能,因此则需要对路由器这一网络互连、数据转发及网络的管理器进行正确操作,以确保网络使用更安全。因此则需要做到以下两点措施。第一点是在路由器之间的协议添加认证功能。就目前而言,动态路由器是核心层与汇聚层连接之间采取最多的连接设备,现常用的动态路由器主要分为OSPF、IS-IS、BGP这三种。而动态路由器的缺点是路由器动态设置会随着网络的拓展而改变,会对路由表进行自动更新,如果相同设置的路由器设备加入网络,该路由器会自动更改为网络上的路由设置,这样的行为可能导致网络信息的外漏,严重的时候,会阻碍网络上的路由表正常运行,导致网络崩溃。为了有效解决相关问题的出现,则需要在路由器设置中添加身份认证,只有通过身份上的认证,同区域的路由器才能互相分享路由表上的信息,以此保护网络安全。第二点则是遵循最小化服务的原则,关闭网路设备上不需要的服务。对此则需要做到以下几点:(1)保证远程访问管理的安全,在路由器信息进行加密保护,防止外界恶意访问的攻击;(2)端口限制访问,通过使用ACL端口进行访问限制,在设备接口上添加数据访问限制,增加网络信息过滤系统,减少网络病毒带来的路由器资源耗损,防止网络病毒入侵,促使网络系统崩溃;(3)增强对网络系统的检查控制,目前采用最多的是SNMPV3协议进行网络信息加密保护,在利用ACL控制SNMP访问,只允许访问设备信息,禁止复制设备信息,以有效检查控制网络运行情况;(4)禁止使用路由器不需要的服务,路由器主要分为软件和硬件的转发方式,转件转发的路由器是通过CPU软件技术进行网络数据转发的,也就是利用核心技术进行的数据转发,而硬件转发的路由器时通过网络上的硬件处理器进行数据转发的,所以使用正确的路由器服务,减少不需要的服务,促进路由器高速运行。

2.2汇聚层的网络安全

汇聚层是保护网络安全运行的重要层次,通过合理有效的方式管理网络,可以作为城域网中的管理层。为保证汇聚层能安全正常的操作,从接入网设备和各种类型用户这两方面进行分析,需要做到以下几点。第一点是接入网设备的安全,利用ACL控制接入网设备的访问,增加对汇聚层端口的检查控制,以达到对连接汇聚层的接入网设备的控制,确保接入网设备的安全。第二点是宽带小区设备的安全,为确保宽带小区网络设备的正常安全运行,需要采取以下几点措施:(1)调整BAS的部署方案,将BAS边缘化,对VLAN设置下的用户数量加以控制,降低网络危害的出现,优化网络系统,从宽带接入服务器中体现出QINQ技术的特征,减少汇聚层中虚拟局域网的传播,因此BAS需要采用双上行的方式保护网络安全;(2)利用BAS+AAA验证服务器检验网络用户的身份,防止账号被盗情况的出现,帮助网络用户准确定位;(3)绑定PPPOE拨号用户对VLAN、端口及用户账号的设置,以防非原有用户对原有网络用的账号和密码进行盗取使用,同时也可以对上网用户位置进行准确定位;(4)为了防止用户账号出现非法共享和漫游资费的情况,需要宽带接入服务器和个人用户账号在radius设备中进行圈定;(5)依据BAS的内存和实际情况决定保留流量数据的多少,并控制使用BAS设备的用户数量,以保证网络安全正常的运行。第三点是从宽带专线用户方面,采取相关安全措施,对此可以做到以下几点:(1)控制用户端口连接的数量,以防止外界危害的入侵;(2)圈定使用用户的基本信息,确定网络用户的位置,阻止非法网页的入侵;(3)设置ACL设备的控制列表信息,通过对外界网页进行多层次的过滤,减少对网络设备的危害,并阻止危害网页消息的出现,确保网络更安全。

2.3接入层的网络安全

通过对接入业务、宽带上网业务和VPN业务进行接入,以降低网络使用者对网络造成的危害。其主要连接方式是XDSL、LAN和WLAN这三种,从用户的网络安全进行分析,得出以下两点措施。一方面是阻止侧用户端口的接入,利用物理隔离和逻辑隔离这两种方式进行网络隔离。其物理隔离主要使用的是单主板安全隔离计算机和隔离卡技术这两种隔离方式,以确保内部网络不直接或间接与公共网络进行连接,以此达到真正隔离的目的;而逻辑隔离则是采用虚拟局域网、访问控制、虚拟专用网、端口绑定等手段进行个人网络和公共网络间的有效隔离。通过以上两种隔离手段,有效保护个人网络账号信息的安全,以防外界用户对原用户的干扰。另一方面则是对用户宽带的流量加以控制,利用完整的软件应用能力和充足的流量管理经验,以达到完善用户网络的目的,促使接入层网络更安全。

3网络安全规划设计实行策略

根据城域网中各层次的特点,从不同方面分析城域网运行过程中出现的问题,采取不同的优化措施,制定合理有效的优化策略,严格管理控制网络数据和信息传送,促进城域网安全稳定的发展,并利用有效的控制手段优化网络信息,以确保网络正常安全的运行。除此之外,还需要网络用户对个人路由器信息进行认真设置,使用更高级的账号登录密码,防止网络病毒的入侵,导致自身网络系统瘫痪,使用正确的路由器服务,有利于网络安全平稳的运行。

4总结

综上所述,根据城域网各层次出现的网络安全均不同和网络所承接业务的不同,我们应采取合适解决问题的安全技术方案,改善城域网在各阶段的不足之处。在网络安全技术实行过程中,需要全面考虑到网络各方面的应用,制定合理有效的安全技术方案,利用合理的安全防护技术,改善城域网网络规划设计中出现的不足之处,只有确保城域网的整体安全,才能达到全面完善网络系统,从而促进城域网健康稳定的发展的目的。

参考文献:

[1]龚俭,陆晟,王倩.计算机网络安全导论(第1版)[M].东南大学出版社,2000.

[2]李逢天.网络运营中的网络安全问题及解决思路[J].电信技术,2002.

[3]杨建红.计算机网络安全与对策[J].长沙铁道学院学报(社会科学版),2005.

[4]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006.

第2篇

关键词:无线网络规划;无线网络风险;无线安全检查项目;无线网络安全指引

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6262-03

1 概述

有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。

因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。

2 无线网络传输风险

现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。

倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。

2.1 伪冒基地机风险

目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。

2.2 弱加密机制传输风险

WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。

许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。

当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。

3 无线网络安全架构

近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。

3.1 企业无线局域网安全目标

企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。

机密性(Confidentiality)

无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。

完整性(Integrity)

无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。

认证性(Authentication)

建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。

因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。

内部网络:

为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。

一般网络:

主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。

因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。

3.2内部网络安全架构

减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。

企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。

企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。

为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。

企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。

为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。

考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。

企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。

另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。

IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。

4 结论

由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。

参考文献:

[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.

[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.

[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.

[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.

第3篇

广播电视网络面临的网络安全形势日益严峻,业务相关技术网络由相对简单、封闭逐渐向复杂、无边界化发展,导致面临的安全风险和威胁越发突出。行业关键信息基础设施的安全防护能力与其重要地位相比,仍然较为薄弱,难以有效应对高强度的网络攻击。云计算、大数据、移动互联网的发展应用,伴随着新的安全风险,尚缺乏有效的应对手段。OTT业务属于广电网络的增值业务,为了保证各类OTT业务安全稳定的运行,在进行网络与安全规划的时候,既要提高网络的可靠性,又要保证OTT业务的安全性。

本文探讨了通过采用VRRP+HRP等技术,再通过路由规划,可以实现业务上的图1 整体网络拓扑图“主-主”模式,在满足OTT业务可靠性的同时,满足业务的安全性要求。同时,还要考虑广电网络的IPv6 升级改造,即符合广电网络IPv6 规模部署和推进的整体规划,还要充分结合业务发展和用户终端的升级情况等因素,进行综合决策。整体拓扑图设计如图1 所示。可靠性设计规划可靠性是反映网络设备本身的稳定性以及网络保持业务不中断的能力,主要包括设备级可靠性、网络级可靠性和业务级可靠性三个层次。其中,业务级可靠性更多的是从业务管理的层面来要求的,要求业务不中断。整体网络可靠性在99.999%以上。在进行OTT网络设计规划时通常采用星型结构的网络设计,一般考虑如下原则:将网络划分为核心层、汇聚层、接入层;每层功能清晰,架构稳定,易于扩展和维护;将网络中不同的OTT业务划分为不同的模块,模块内部的调整涉及范围小,易于进行问题定位;关键设备采用双节点冗余设计、关键链路采用Trunk方式冗余备份或者负载分担、关键设备的电源、主控板等关键部件冗余备份。安全性设计规划OTT网络应具备有效的安全控制,按业务和权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。因此,OTT平台在搭建过程中,需要两台数据中心级的安全网关,所有部件均采用全冗余技术,比如主控板、业务板及电源等,同时要支持“主-备”和“主-主”组网模式、端口聚合、VPN冗余、业务板负载均衡、双主控主备倒换技术的能力,从而能够提供高级别的安全防护能力和业务扩展能力。

作为安全网关,优异的地址转换性能和VPN性能也是对OTT业务的强大支撑。比如基于IP的转换、基于端口的转换、语音多媒体等业务流量的多通道协议NAT转换、无数目限制的PAT方式转换、域内NAT以及双向NAT等,以满足各种NAT应用场景。随着OTT业务更多在公共网络上的传输,拥有最佳的VPN性能能满足大量业务的加密传输要求。比如支持4over6 、6over4 的VPN技术,以保证网络从IPv4-IPv6 演进过程中VPN传输需求。安全网关如何抵抗外部威胁,提高网络安全,还体现在入侵防御功能上,可以对系统漏洞、未授权自动下载、欺骗类应用软件、广告类软件、异常协议、P2P异常等多种威胁进行防护。安全网关还要求能实时捕获最新的攻击、蠕虫及木马等威胁,为网络提供强大的防御能力。为满足网络向IPv6 的平滑演进,保证业务的稳定运行,安全网关需要支持随着IPv4 地址的枯竭,网络能向IPv6 平滑演进,并确保业务稳定运行。安全网关还要具有NAT44 、NAT64 等多种过渡功能,为未来的网络演进及业务过渡提供高效、灵活和放心的解决办法。IPv6 设计规划根据《广播电视媒体网站IPv6 改造实施指南(2018)》下达的广播电视媒体网站IPv6 改造实施的总体目标,确定过渡技术的选择和各网络设备对过渡技术的支持情况,规划原则:在不影响现网业务的基础上完成用户发展指标,降低网络风险;IPv6 改造顺序应按照“承载环境先行,业务接入随后,网管安全支撑按需”的原则进行;IP承载网是提供IPv6 端到端连接的根本,需要先行改造支持IPv6 ;业务网、各类接入网是发展IPv6 用户的关键,应在承载具备条件的基础上逐步改造,支持IPv4/IPv6 双栈方式;网管系统、支撑平台等应根据网络、业务的升级步骤按需改造,相关接口仍采用IPv4 协议,接口内部相关字段支持IPv6 地址;从IPv4-only向IPv6-only演进还需要遵循两个原则:首要原则是“不影响现网业务(IPv4/1Pv6)的正常运行”。IPv4 设备上部署IPv6 协议或者双栈设备关闭IPv4 协议和服务时,用户应该感知不到基础网络升级到IPv4/IPv6 双栈或者从双栈到IPv6-only的变化。次要原则是“兼容现有终端设备,不能强制用户升级或者更换自己的终端设备,如PC、平板电脑和机顶盒等”。

对于OTT业务网络,可以建设为IPv4 和IPv6 双栈网络,或者建设IPv6-only网络。如果直接规划或建设成IPv6-only网络,那么针对目前IPv4 流量占比相对较高的情形,就需要考虑IPv4 网络和IPv6 网络互通场景,考虑IPv4 客户访问IPv6 服务场景,IPV6 的客户访问IPv4 服务场景,通过IPv4 网络连接两个IPv6-only网络场景等。对于现有的OTT业务网络,不可能对所有不支持IPv6 的设备进行更换,所以对支持IPv6 的设备直接开启IPv6 功能,同时运行IPv4 和IPv6 协议栈,实现双栈。OTT业务系统在广电城域网中实际部署的过程中,为了保证业务系统的稳定性、安全性以及未来IPv6 升级改造中的扩展性,可以通过在OTT业务的互联网出口处部署两台高性能的安全网关。这两台安全网关可以通过“主-主”或者“主-备”的模式运行,将不同的OTT业务通过划分不同的DMZ区进行隔离,然后根据不同OTT业务实际的运行流量,在安全网关上进行系统资源的重新分配,其中包括CPU、内存等。在DMZ区之间、Intranet区、Extranet区等不同的安全区之间,通过安全网关的安全策略进行访问控制,精确到协议和端口号,严格控制合法流量的流入和流出。通过安全网关的NAT功能,实现私网地址向公网地址,公网地址向私网地址的互相访问。同时,要求安全网关已经实际配置IPv6 功能,给未来的NAT46 、NAT64 等业务留下充足的扩展空间。

第4篇

>> 面向网警职业素质需求的网络安全与执法专业创新型人才培养 关于公安院校网络安全与执法专业建设的思考 数据库课程在网络安全与执法专业能力培养中的重要性及其实践教学改革研究 网络安全与执法专业课程体系探究 铁路公安网络安全与执法能力分析 基于“设计+工程”模式的高职《网络安全》课程研究与开发 基于网络安全的网络存储研究与设计 基于CDIO模式的计算机网络安全技术教学研究与实践 网络安全执法专业“数据恢复技术”课程规划研究 基于实践的网络安全教学 基于网络的三本院校NCRE:二级VB教学改革与实践 基于翻转课堂教学模式的《网络安全技术应用》教学设计研究 基于预约诊疗模式下的医院网络安全设计 基于数字网络的校园网络安全对策与分析 医院的网络安全与管理 网络安全的发展与研究 网络安全的矛与盾 基于计算机网络安全保护模式与安全保护策略研究 基于网络监听的网络安全平台构建 SMTM教学模式在信息与网络安全课程上的研究与实践 常见问题解答 当前所在位置:.

[3]吴良源.全力打造实战型网络警察队伍[D].信息网络安全,2005(10):2.

[4]我国网络安全立法体系框架[OL].http:///zt/xxaqcx/aqfg/201306/t20130603_645720.htm.

[5]史伟奇,周建华.网络安全监察专业人才培养方案研究[J].江苏警官学院学报,2012(3):2.

[6]刘长文,佟辉.网络安全与执法专业建设若干问题初探[J].北京人民警察学院学报,2012(7):1-2.

[7]霍宏涛,王任华.公安院校计算机犯罪侦查专业方向课程体系改革研究[J].北京电子科技学院学报,2006,14(1).

[8]郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报:自然科学版,2003(03):36-39.

基金项目:中国人民公安大学调研项目(项目编号:2013JXDY22)。

作者简介:

高见,男,讲师,研究方向:网络安全。

第5篇

文章从网络安全管理和网络安全技术两个方面对铁路信息系统网络安全屏障的搭建进行论述。期望通过本文的研究能够对铁路信息系统的安全、稳定、可靠运行有所帮助。

【关键词】铁路 信息系统 网络安全

想要从根本上确保铁路信息系统的网络安全,就必须构建起一道有效的屏障,并建立包含网络安全管理和安全技术措施在内的保障体系,只有这样,才能使铁路信息系统的安全、稳定、可靠运行得到保证。借此,本文就铁路信息系统网络安全屏障的搭建展开探讨。

1 铁路信息系统网络安全管理的有效途径

1.1 做好网络规划设计保障网络安全

铁路办公信息系统的网络拓扑结构直接关系着网络的整体性能,并在一定程度上关系着网络运行的安全性、稳定性和可靠性,同时还与传输速率和通信效率有关。为了确保网络安全,必须选择合理的网络拓扑结构进行网络规划设计。通过对一些常用的网络拓扑结构进行研究发现,星状拓扑结构的安全性和可靠性较高,故此建议铁路办公信息系统采用此种网络拓扑结构,并以分层的方法进行网络规划设计,具体可将办公信息系统的整个网络分为核心层、分布层和接入层三个层次。通过分层规划设计,能够将全局通信进行合理的分配及带宽规划。在这个三个层次当中,核心层是网络主干,负责网络连通,可靠性高、容错性强是该层应当具备的基本特性,同时还要具有良好的可管理性;分布层是核心层与接入层的连接层,它的主要作用是安全控制、VLAN分割等;接入层可以为用户提供访问网络的途径,它是一个共享带宽的局域网。在对网络进行规划设计的过程中,必须要做好网络安全管理工作,这是确保网络正常运行的关键。通过对网络设备运行情况的实时监测及参数调整,对路由器等设备进行远程管理和维护,以此来确保网络的安全性和可用性。

1.2 建立安全风险评估体系

在对铁路信息系统网络安全进行管理的过程中,应当建立起一套相对完善的风险评估体系,以此来对系统的网络安全进行评价,进而制定合理可行的应对措施。首先,要制定科学的风险评估标准,使网络安全风险评估工作的开展有据可依。其次,要建立风险评估机制,对相关部门的职责加以明确,确定评估周期及评估结果的运用方法。再次,要对风险评估办法进行细化,使网络安全风险评估工作能够在信息系统的全寿命周期内顺利进行。最后,要解决好风险评估工作与信息系统等级保护的衔接问题,使评估能够为系统的网络安全防护提供依据,并为系统的安全保障能力提供判断标准,进而确保信息系统的安全、稳定、可靠运行。

1.3 强化人员管理

对于系统使用人员的安全管理,可从以下几个方面着手:

(1)加强安全审查。应当从信息系统使用人员任用的过程中进行管理和控制,从思想政治面貌、职业道德和业务素质等几个方面对人员进行考察,由于很多网络安全事件都是内部人员的误操作引起的,所以,必须不断提升他们的专业技术水平,加大对人员的安全管理考核与培训,建立切实可行的奖惩制度。

(2)要做好安全保密工作,应当与所有可以进入信息系统的工作人员签订安全保密协议,并在协议当中详细注明工作人员需要履行的安全保密义务,不得擅自泄露工作秘密,一经发现违反协议的人员,应当对其进行严惩。

2 铁路信息系统网络安全技术措施

2.1 内网设备安全加固

从目前国内铁路办公信息系统的总体情况上看,内网中的网络设备是网络安全需要考虑的重点环节。鉴于此,为大幅度提升网络设备的安全性,可采取如下安全加固措施:

登录相关的官方网站,查找网络结构中路由器等设备的最新IOS版本,及时进行下载更新和升级,借此来弥补系统的安全漏洞,关闭各种后门,为路由器的安全运行提供可靠保障。

设置管理终端口令,加强Vty和Console的口令管理强度,采用6位以上数字+字母的组合形式,提高口令的安全性,并使用md5对口令进行加密存储。同时,加强Enable和Secret密码的强度,密码的长度最少应当设置为8个字符以上,并且要采用字母+数字的组合形式,需要注意的是,该密码尽量不要与Vty和Console的密码相同。

2.2 构建虚拟局域网

通过内部虚拟局域网的建立,能够有效防止内部破坏分子对内网的攻击。虚拟局域网简称VLAN,它一般不考虑用户所处的地理位置,按照功能与应用等因素,从逻辑上将网络划分为若干个功能独立且相互关联的工作组,由此能够使铁路办公信息系统中的核心服务器和一些重要部门的网络安全获得保障。

2.3 访问控制技术

这是网络安全防范与保护的重要技术措施之一,它的运用能够从根本上确保网络资源不被非法使用和访问,借助该技术能够使铁路办公信息系统的网络安全及重要资源得到有效的保护。访问控制技术简称ACL,它可以与虚拟局域网联合使用,ACL主要包括以下安全技术:网络监测与锁定控制、网络使用权限控制、网络节点安全控制、属性与目录级安全控制、入网访问控制以及防火墙控制等等。采用ACL建立安全的访问列表,能够通过源地址、目标地址和应用类型等,对流入网络的数据流进行有效的控制。

2.4 数据加密技术

该技术在信息系统网络安全方案中的应用非常广泛,其安全防护效果较好。在对网络数据进行加密处理的过程中,不需要特殊拓扑结构的支持,因此,基本不会对相关的网络服务造成影响,从应用情况上看,该技术现已成为解决铁路办公信息系统网络安全问题最为有效且实用性较高的方案之一。对数据信息进行加密处理之后,可以使网络内部的重要数据、文件、指令等获得有效保护,同时还能对网络中传输的数据起到一定的保护作用。目前,较为常用的网络加密方法有以下几种:链路加密、端点和节点加密等,既可以采用私有密钥算法进行加密,也可以采用公开密钥算法进行加密。VPN被业界称之为网络加密机,这是一项非常成熟且完善的网络安全技术,它可以对信息传输安全提供有效的保障,可将之作为铁路办公网的首选数据加密措施。

2.5 分级防火墙技术

防火墙是网络安全防护中不可或缺的一项技术措施,分级防火墙是一种最新的防火墙技术,该技术具体是指外网与内网的连接需要先经过外部路由器,在进入首级防火墙,在此需要进行一次身份认证和访问控制,然后再由内部路由器转发至内网当中,并由次级防火墙做进一步防护,若是有特殊的安全需要,可设置多个次级防火墙。该技术将状态检测、静态包过滤以及网关等访问控制技术有机结合到一起,不但大幅度增强网络的安全性,而且处理效率也获得显著提升。

3 结论

综上所述,为确保铁路信息系统的安全、稳定、可靠运行,必须对网络安全问题予以足够的重视,本文从网络安全管理途径和网络安全技术措施两个方面着手,构建起一道行之有效的网络安全防护屏障,通过各种网络安全技术措施的应用,进一步提升了铁路办公信息系统网络的安全性,有效阻止了各种非法入侵,为铁路部门相关工作的开展提供了强有力的保障。

参考文献

[1]祝咏升,张彦,丁妍,姚洪磊.铁路信息系统安全管理中心的设计[J].中国铁路,2012(10):125-127.

[2]高春霞,陈光伟,张文塔,岳雪梅.铁路网络与信息安全风险管理研究[J].铁路计算机应用,2014(06):85-88.

[3]张彦.铁路信息系统安全体系研究[J].铁路计算机应用,2015(02):49-51.

[4]鲁婷婷.铁路基层站段信息系统网络安全策略与管理[J].商,2015(12):104-106.

第6篇

来自中央网信办、国家发改委、国资委、科技部、国家能源局,中国互联网发展基金会、全国信息安全标准化委员会、中国网络安全产业联盟,民银国际投资有限公司、北京匡恩网络科技有限责任公司等部门、机构的各界专家,汇聚一堂,就目前国际安全新趋势、我国工业控制网络安全面临的挑战和机遇、以及如何促进工控网络安全产业发展等,进行了交流、研讨。以下为与会专家的发言摘要。

胥和平:工控网络安全问题已成为网络经济的一个重大问题

这次新经济圆桌会议选择了一个重大话题:工业控制系统的网络安全。

2015年国家明确提出“互联网+”、“中国制造2025”等重大战略举措,十八届五中全会和“十三五”规划明确指出,把拓展网络发展空间作为一个重大战略举措。一年多来,“互联网+”在各个领域的深度渗透,广泛推进,已经取得了明显的成效,大家一直在期待一个万物互联、互联互通的社会,期待一个基于“互联网+”的新的经济形态出现。但当所有设备、所有系统互联互通以后,安全问题就至关重要。

一个小小的病毒、一个网络的漏洞就可以导致大型工业系统、大型基础设施运转出现巨大的经济损失。这些问题成为网络经济的一个重大问题,也成为发展互联网经济的重要基础。

何帮喜:从战略高度加强工业控制网络安全顶层设计,明确责任部门

过去我当过商会会长,对工业领域很熟悉。我们经常遇到这样的事儿:很多企业在招标过程中,在实施技术过程中,突然计算机的机密文件、数据被盗。企业很着急,但无法解决。后来,经过调研,我了解到这属于工控网络安全问题。而且,还是非常普遍的现象。

今年全国两会召开前,我们经过调研和专家指导,写了《关于加强我国工控网络安全,应纳入国家战略的建议》的提案,多名政协委员联名提交。同时,十几名人大代表也联名提交了关于工控网络安全的议案。

我们的主要建议是:从国家战略高度加强工业控制网络安全顶层设计,明确责任部门;建立完备的工控网络安全体系,掌握芯片级核心技术;大力扶持新兴工控网络安全企业,鼓励技术创新和产业化;在各行业建设中同步进行工控网络安全规划和验收等。

董宝青:工控安全难度最大,相信未来几年内会扭转现状

万物互联的时代,我们从过去关注互联网安全、信息系统安全转向最底层次、最难的工控安全,因为它要解决信息空间跟物理、机械的融合问题。

首先,在国家顶层设计方面,目前看,比较清晰。大家也都非常关注和重视。其次,微观层面,所有的工业企业或者产业系统、实体经济体系,都要建立信息安全管理制度和组织落实制度。第三,要建立技术供应链全生命周期、全环节的把控能力,实施国产替代、自主可控、安全可靠的思路,打造我们的技术供应产业链。第四,要建立日常的维护制度、运营制度、巡查制度等。第五,建立一些应急支援的队伍力量。第六,大力发展产业队伍。

我们在工业控制系统的市场占有率还不到10%,相信未来几年,通过企业的努力,国家政策制度的建立,能够扭转这种形势,安全可控、自主可控,能够放心地发展经济。

徐建平:首先要加强系统性的谋划和顶层设计

当前我们在网络安全方面面临几个问题:一、安全问题的认识问题。应该从根本上解决,建立容错机制。二、政策上也有很多需要完善的地方。比如推动自主化,真正的支持措施少。三、整个大的制造业大而不强。四、部门之间协同性要进一步加强。五、工业控制系统安全管理还存在很多缺陷。

我们应该加强系统性的谋划和顶层设计。我个人认为,部门之间虽然已经形成了一个相应的工作机制,但是离真正的加强安全管理要求,还差得很远,还有很大的空间。首先,在规划上,要真正把工业控制网络安全纳入到各级规划当中去。其次,突出重点,集中优势,突破关键。实质上就是要强化自主创新能力,落到实处。第三,加强法律法规的建设,通过法规的形式为信息安全、安全能力的建设提供保障。第四,加强社会安全意识教育。

刘育新:国家如何支持、民企怎么进入,都需要认真研究

在国家科技管理体制发生变化、发生改革的情况下,对于工业控制网络安全怎么支持,是值得研究的问题。工业控制网络安全还有行业性的问题,不同行业要求不一样。应用基础性的研究怎么支持?政府的钱是有限的,这是一个导向作用的钱,政府支持哪个领域,市场上资金就会注意这个方向。

此外,这个技术或者产业发展起来,需要有竞争,是开放性的。网络安全的天然属性就是封闭性、体系性,因为它涉及到保密等问题。民营企业和社会资本怎么进入,政府的管理门槛怎么降低,这是需要认真考虑的。竞争不竞争,有时候差距很大。

孙耀唯:能源领域是公共系统网络安全的重要方面,我们不能轻视

能源系统对工控系统安全是比较重视的,这些年在工信部的支持指导下做了很多工作。比如一些预测预警,包括信息通报,也做过一些执法检查,还有专项监管。在国产化方面,我们也做了很多尝试和推广,包括装备,风电、水电、火电都在国产化,国产率越来越高。

从行业角度来讲:一、我们要培养安全意识,今后将加强教育和宣传。二、顶层设计分工。国家总体有筹划、部署、规划;分行业建立一个完整的规划;地方公安系统都有网络安全测试实验室,但还要加上企业。三、人才培养方面,我们一直很重视加强专业性的培养,每个岗位不仅要有安全意识,还要有操作意识。四、监管层面,要加强政府的作用,监管队伍、监管素质、监管手段上了之后,会发挥很多的作用。

能源领域是公共系统网络安全的重要方面,我们不能轻视,也正在加强,希望有关方面继续给与支持。

张铭:立法要细,规划要明确,设备必须国产化

要用发展网络安全产业的模式,解决中国网络安全问题。我认为,在工业领域,用产业网络控制安全的概念更好,产业不只是工业,还有其他的。中国有一个非常大的网络安全产业。这个领域会诞生非常大的企业,一定要把这个产业发展好。

怎么发展产业,我提几点建议。

第一,立法必须要有。我们现在有一个网络安全征求意见稿。法律一定要细,如果大的法律解决不了问题,实施细则就一定要细,一定要能够操作。这么大的一个产业,如果用市场经济的办法来解决,首先要把法规制定好。

第二,需要一个工控网络方面的规划。这个规划必须要明确目标、部门之间协作、政策支持、后续保障、协调机制等等。企业有企业的定位,政府有政府的定位,制定好目标,就会有监督,有检查,很多事情才能落实到位。

第三,自主知识产权核心设备国产化,这个必须要解决。

第四,意识培训,大家都用互联网,大家要有网络安全的意识。我觉得这部分,政府应该拿点钱,企业也会愿意拿点钱,把这个钱给行业协会,让它组织培训。

秦昌桂:工业控制网络安全,关键是人才

关于公共安全,工业控制网络安全已经作为网络安全,也是作为国家安全,纳入国家最高战略,凡是自动化程度越高,智能化程度越高,它的安全更危险。工业控制网络安全的重要性是显而易见的。但关键一点还是人才,你讲国产化也好,什么也好,讲到底就是人才。安全体系一定是要有自己的产品、自己的技术。工业控制网络安全的企业,从国家层面来讲,一定要自主培养人才。

网络安全方面,大家对信息安全是主动防守,强调得更重要,对自动化特别是生产领域、经济领域是忽视的。不要扩大威胁,但是也不要忽视威胁,还要考虑自身的防御。你的病毒、漏洞自己可以破坏你自己的体系。从我们基金会来讲,一定要利用社会的力量,除了加大对网络安全宣传周支持,我们重点支持网络安全人才的培养,人是最根本的。

高林:关于加强信息安全标准化工作的指导意见今年会很快出台

做好工业控制网络安全,需要从几个方面分析:

一是法规和机制层面。具体到工控网络安全的事情上,在操作层面还需要进一步明确各有关部门、组织的职责。二是标准的事情。2012年国家成立了全国信息安全标准化技术委员会,形成这么一个架构,就是要协调标准化的事情。组织上有了,做的过程中也是一个逐渐深入的过程。今年马上要出一个政策,关于加强信息安全标准化工作的指导意见,会进一步加强工业系统的网络安全标准统筹。这里面很重要的一个问题,主要的核心是工控系统网络安全防控的要求。三是规划层面。要做好技术保障,有很多需要在国家层面布局的,要有一批队伍做这个事情,不能光靠政府,光靠职能部门。四是监管层面。首先要在整个国家网络安全审查制度框架之下做工控产品的安全审查。另外就是系统检查,要明确主体责任,主体责任一定是系统的拥有者、运营者。五是服务层面,现在有很多协会和第三方机构组织做一些服务,包括政府支持在一些单位建立通信通报、共享、追踪等服务。

陈兴跃:我们就做两件事,一是搭建桥梁,二是建设平台

从联盟的角度来讲,我们就做两件事,一是搭建桥梁,二是建设平台。所谓桥梁,就是作为产业和部门对接的桥梁、产业合作的桥梁。所谓平台,就是聚集整个产业的资源,集中力量做大事。以标准工作为例,产业联盟推进标准工作有先天的优势。总而言之,产业联盟工作要代表网络安全产业的水平。

刚才有嘉宾提到资金的问题,联盟会员中有很多中小企业,他们有非常强的资金需要。会员企业希望在联盟平台上做一个产业的创新基金,在联盟平台上发现好的创新团队和创新技术,开展专项对接扶持。

孙一桉:希望政策方面能帮助我们穿透设备供应商这“最后一道门”

工控网络安全技术是衡量一个国家综合实力的重要组成部分,也是国家安全的重要组成部分。工业控制系统解决安全问题特别难,它不是拿一个简单信息安全的手段加一个工业的壳就可以解决,它必须和各个行业深入对接。

我们在推广过程中有一个巨大的障碍,就是设备供应商。国产设备供应商是比较开放的,但在国外的设备供应商那里遭遇了很大的阻力,这对我们是潜在的、巨大的危害。我们不能走到互联网安全那条老路上去,让设备供应商自己做系统的安全维护,后门都打开了,还全然不知。所以,在这个领域,我强烈呼吁各方能一同协力,穿透“最后一道门”,让设备供应商开放出来,用自主可控的安全手段来解决安全问题,不要重蹈过去互联网安全的覆辙。

工业网络安全,是信息安全与工业自动化的跨学科的集成,涉及到国家安全、经济安全、民生安全,是新经济时代一个基础性的、亟待解决的问题,需要各级政府部门、各行业一起来加速推动。

白津夫:网络经济安全不是网络安全,须采取新举措

工业控制网络安全,强调的是网络经济层面,网络经济安全不是一般意义上的网络安全。随着“互联网+”和网络经济不断发展,网络安全风险不断放大,切不可掉以轻心。

第7篇

>> 中职校园网络安全管理系统设计 校园网络规划设计 校园网络设计原则 构建高校数字校园网络 关于中职院校数字化校园网络安全问题探究 SAN网络数据存储在数字化校园网中的设计和应用 重构与优化:数字化校园网络设计路径 高校数字校园网络安全系统方案与设计探讨 数字校园网络接入控制系统设计与实现 数字化校园网络中的数据仓库的设计探讨 校园网络安全设计探析 校园网网络直播系统设计 校园网络信息平台设计研究 新型校园网络的设计 中职数字化校园应用系统架构分析 中职数字化校园建设探索与实践 数字校园网络安全策略探讨 数字化校园网络安全研究 基于校园网络的数字广播系统 中职学校校园网络安全探析 常见问题解答 当前所在位置:.2010-11-27.

[2] 高峡,陈智罡,袁宗福.网络设备互连学习指南[M].北京:科学出版社,2009.

[3] 田斌,田虹,潘利群,等.高校校园网工程建设方案设计与实施[J].武汉理工大学学报,2009(1).

[4] 牛贺峰.中职学校数字化校园建设的问题及对策[J].职业时空,2011(5).

[5] 余绍军.校园网的安全与防火墙技术[J].长沙航空职业技术学院学报,2003,(4).

[6] 陈明强.校园网建设的设计与实施[J]. 广西师范学院学报(自然科学版) , 2004,(S2).

第8篇

关键词:企业局域网;安全风险;分析;方案设计规划;讨论

中图分类号:TP393.1

建立企业风险意识,做好网络安全防范预测,成为了企业风险管理中的一项重要内容。防火墙、漏洞扫描、防病毒、入侵检测等维护网络安全的软件,有效地提高网络信息的安全性。随着网络与信息技术应用的范围不断扩大,各种形式的服务被展开,各种的网络安全问题也随之出现了。为了确保企业局域网信息能够在网络上进行有效传播,并且免受网络黑客的攻击,可以加筑安全屏障在企业的局域信息网。为了维护局域网络信息系统的安全性,采用防火墙技术与入侵检测系统相结合的防护技术,使网络的安全防御能力大大地提高了,实现了维护网络系统的安全运营。对企业的局域网络系统进行风险分析,并根据实际的需要进行合理地规划设计,是非常必要的。

1 企业局域网系统安全风险分析

企业局域网系统普遍存在的安全风险包括有网络安全的物理风险和网络平台的安全风险。

1.1 网络安全的物理风险

网络安全的物理风险一般是建立网络的硬件设施很容易出现故障。除了一些自然因素,如火灾、水灾、地震等所造成的故障之外,主要还是诸如由于不当操作而造成的设备损坏或者是设备丢失以及线路被劫等等的人为因素影响。对于性能较高的硬件配置,主要体现在双机设计、报警系统、机房的内部环境的安全性上。

1.2 网络平台的安全风险

网络平台的安全风险主要体现服务器的风险和整体结构与路由的风险。

(1)服务器风险。作为企业信息的平台,局域网的服务器一旦受到攻击,就容易导致整个网络的瘫痪。网络管理人员就有其需要对网络节点提高警惕,因为这里是黑客试图闯入的关键。

(2)网络的整体结构与路由风险。企业局域网络系统的建立是非常简单的,只要一台路由器,加之一些辅助设备,就可以将局域网络系统建立起来。因此,很容易出现安全问题。

2 网络安全的总体设计原则

2.1 网络安全设计方案需要遵循的原则

(1)综合规划原则。计算机的网络结构主要包括数据、软件、设备等等,那么,在对网络工程系统进行安全设计的时候,就需要从整体角度出发对设计方案进行制定,并根据专业的需要分析、修改。

从管理的角度来看,网络安全的设计上,要符合有关的法律法规已经相应的管理制度;在专业技术上,采取多种方法向融合的措施,以获得最可行、最有效的方案。

(2)平衡一致的原则。使用局域网络,其可以带来诸多的便利的同时,用户也要承担了一定的风险。通过对网络的实际功能进行研究,在设计安全策略之前,要对网络的结构、性能等进行必要的分析,使其与网络安全的需求保持一致。不但可以提高网络的运行效率,而且还会降低资金投入成本。

(3)多重保护,分步实施。为了防止系统在黑客的攻击下,受到破坏。建立起多重保护网络的系统,可以加大安全防护系数,以各层保护之间的互补,实现保护系统信息的安全。

鉴于网络系统实际应用范围的不断扩展,网络规模也在不断加大,这就导致网络更加脆弱。网络安全问题不能一次性的解决,并且在使用安全措施时,需要支出一定的费用,针对这一问题,可以采用分步实施的凡是来满足网络安全的需求,也能够尽量节省开支。

2.2 安全技术、服务、机制

(1)安全技术。在开放的环境下,用户可以使用病毒预防技术、防火墙技术等等。

(2)安全服务、机制。安全服务中,除了包括可靠服务、认证对象服务之外,必要的控制服务也是非常很总要的。相应地,也将认证机制以及控制访问机制建立了起来。

3 企业局域网系统安全设计规划

建立防火墙和入侵检测系统,成为了企业局域网络系统安全设计的规划方案。

3.1 防火墙技术

应用防火墙,可以保证信息安全。防火墙技术的功能就是阻拦一些不被允许的垃圾信息,因为这些信息容易对网络造成干扰,有效组织可以避免出现信息上的滥竽充数。可见,防火墙的目的就是对网络之间的通信进行控制。

防火墙其实就是一种软件或者是硬件设备的组合,将其安装在企业信息网络与Internet之间,可以在网络信息相互传送的过程中实现保护系统安全的作用。在两个信任程度不同的网络之间安装适当的防火墙,可以防止重要的信息资源被非法存取和访问。

3.2 入侵检测系统

防火墙的作用是采用强制的方式,拦截不符合局域网络要求的信息。那么,在企业的局域网络信息系统中安装入侵检测系统,不但可以实现防火墙的黑客堵截功能,而且,还会对局域网络内部的攻击性信息进行监督。对于没有被授权浏览的信息,依然会采取相应的干扰措施。

入侵检测系统与防火墙相比,更具有优越性。作为一种动态的安全技术,其可以对计算机网络以及计算机系统中风险系数比较高的关键点信息进行收集,并对这些信息进行技术分析和检测。通过对于检测记录进行汇总,就可以从中判断出一些信息所呈现出来的违反安全策略的行为。此时,入侵检测系统就会启动报警系统,同时阻挠不良信息的侵入。

3.3 建立入侵检测系统与防火墙相结合的安全防护体系

将防火墙系统和入侵检测系统充分地结合起来,可以达到加强网络安全系统防护墙的作用。

具体操作上,首先要安装防火墙系统,以使外部的入侵信息被过滤在局域网之外,从而达到基本的防护作用,此为企业局域网络防止黑客入侵的第一道防线。之后,将入侵检测系统进行安装,形成防止黑客入侵的第二道防线。一旦有不良信息闯过防火墙,遇到了入侵检测系统后,就会降低对信息网络干扰力。而入侵检测系统可以对黑客进行有效检测,并启动报警系统。这样安装系统防御设备,既可以降低保护局域网系统的风险系数,也可以将其工作负载降低。

3.4 防火墙系统和入侵检测系统的组合安装方式

防火墙系统和入侵检测系统的组合安装方式包括有两种,一种是将入侵检测系统嵌入到防火墙中;另一种是将防火墙或者入侵检测系统开放一个接口,将两者进行外部连接。

采用入侵检测系统嵌入的方式,其数据并不是来源于数据包,而是流经防火墙的数据流;使用接口进行外部联结的方式,则具有灵活性的优势。很显然,两者不是简单的叠加,而是技术性的组合。

4 总结

综上所述,网络信息的安全问题已经成为一种社会问题,如果不及时将局域网系统产生的安全问题分析。解决,那么对企业来说将是巨大的威胁。由于网络安全一直处在不断变化与动态发展的过程中,因此我们要及时掌握网络变化的第一手资料,对现阶段存在的各类病毒全面了解,以便制定出有效的防范措施,将网络风险问题降到最低。

参考文献:

[1]张丽肖,刘劲松,李超,柴文磊,李清霞.企业局域网系统安全的风险分析及设计规划探讨[J].信息与电脑(理论版),2011,16(08):218-221.

[2]刘亚丽,邓高峰,郝卓,俞能海.企业局域网ARP攻击原理分析及防御措施[J].计算机安全,2011,23(07):264-266.

第9篇

在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。

1.1网络安全管理策略的可变性

网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。

1.2网络安全策略的核心内容

网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。

1.3网络安全策略的设计与实施步骤

(1)确定网络安全需求:确定网络安全需求的范围,评估面临的网络风险。(2)制订可实现的网络安全策略目标。(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容。(4)制订网络安全系统的日常维护计划。

2网络安全防御与改善措施

网络安全问题是潜藏在我们每一个人身边的现实威胁,网络攻击分分秒秒都在发生,瞄准了企业、政府、军队和有价值的个人和各个行业及领域,威胁无处不在。

2.1网络安全风险评估

网络安全风险评估主要由以下三个步骤所组成:识别网络安全事故的危害、评估危害的风险和控制网络安全风险的措施及管理。而通过进行网络安全风险评估,可以及时防范于风险的危害,及时调整网络安全内容,保障网络安全运行,保证计算机信息管理系统及时应对不断变化的网络安全形势,提高危险的预防和网络安全的防御能力。就网络安全风险评估中的风险控制来说,网络安全风险控制是使网络安全风险降低到企业或者是单位可以接受的程度,当风险发生时,不至于影响企业或单位的正常日常业务运作。网络安全风险控制包括:选择安全控制措施、风险控制(免风险、转移风险、减少危险、减少薄弱点、进行安全监控等)和可接受风险。

2.2网络安全防范管理

做好网络安全防范计划与策略,对网络安全进行防范控制和管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。网络安全防范措施可以有:(1)国家信息安全漏洞共享平台。(2)反网络病毒联盟组织。

2.3建立良好的网络安全机制

要不断地加强计算机信息网络的安全规范化管理力度,建立良好的网络安全机制,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识,防范不良因素的影响。目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。

2.4加强网络安全人员培训

网络安全在今天的非常的重要,对于人才的渴求也非常的大,但是人才的数量非常的有限,需求非常的大,很多的企业进行高薪聘请,但是流动性比较大,对于企业没有真正的感情,这样不利于企业的长期与发展,企业面临着非常研究的形式与考研。正是这样,很多的企业面对于这样的问题进行人才的内部的培养,通过聘请名师进行基础知识以及实践等等方面,对于受训的人员进行系统的考试,对于成绩优异的人员进行进一步培养,作为企业的后备人才。企业应该做到充分调动员工的积极性,建立严明的奖惩制度,对于学习优异的学员进行物质以及精神上的奖励,这样对于员工来说是一种激励,建立考核制度,针对于员工进行周考核、月考核,慢慢的形成制度化,从而真正意义的调动员工的学习。未来的发展竞争会变得更加的激烈,正是这样的原因,一定要进行改革,改革的方向来自于多个方面,但是人才是一切改革的动力,所以人才的储备是未来的竞争重要的组成部分,加强人才的培养是未来发展的保证。

2.5引入网络安全审计系统

网络安全审计系统指主体对客体进行访问和使用情况进行记录和审查,以保证网络安全规则被正确执行,并帮助分析安全事故产生的原因。采用网络安全审计系统可以对潜在的攻击者起到震慑或警告的作用,对于已经发生的系统破坏行为提供有效的追纠证据,为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

3结论

第10篇

作为一门综合性的新学科,网络空间安全覆盖物理层、网络层、数据层等多个层面的问题[1]。网络安全信息化领导小组于2014年2月正式成立[2],表明网络空间安全人才的培养迫在眉睫。2015年6月,教育部批示在工学中设立网络空间安全一级学科,学科代码为0839[3]。2016年6月,中央网信办《关于加强网络安全学科建设和人才培养的意见》(中网办发文[2016]4号)文件[4],至此国家对网络空间安全人才培养的重要性和需求也提升至一个崭新的层面。

1 网络空间安全的教学体系

网络空间安全是一门交叉性学科,融合了数学、信息论、计算复杂理论、控制论、系统论、认知科学、博弈论、管理学、法学等学科知识,其研究内容不仅涉及非传统网络安全理论与技术,如网络安全、网络攻防、网络安全的管理、信息安全等,还囊括网络应用的安全,如数据的恢复与取证、舆情分析、工程系统和物联网安全等。与其他学科相比,网络空间安全不仅采用理论分析、实验验证、技术实现等常规手段,还采用逆向分析等技术,从攻方和守方两个不同的角度分析当前网络空间安全所面临的威胁[5]。网络空间安全的教学体系框架如图1所示。

2 课程改革的发展与建设

2.1 课程体系教学改革

现有的网络安全或信息安全教学体系分为两种,一种是传统课堂教学模式,另一种是互联网在线教学。传统课堂教学模式可以实现良好的师生互动,但是授课内容大都是授课教师拟定,学生不能根据自身喜好、知识水平、技术能力等实际情况选择适合自己的课程。基于互联网的在线教学虽然解决了学习地域以及时间受限的问题,但是还存在缺少互动实践环节、不能及时巩固练习及反馈学习内容的问题。针对两种教学模式的固有缺点,结合网络空间安全的学习更需要可知、可感和可实践的特点,教师可尝试设计网络空间安全课程的实践教学模式,涵盖可实施性的应用教学案例,满足更轻量、更丰富且更自由的新型学习理念,提高学生的创新能力与实践能力。

2.2 实践教学课程建设

网络空间安全实践教学设计采用层层深入各个知识点、关键技术的原理演示与课后练习实践等多种教学模式,课程设计要能够理清网络空间安全学科涉及的各个主要教学内容,融合网络空间安全、网络安全和信息安全相互之间的联系和区别。

实践教学的内容设计涵盖了学习者所需要的大部分重难点知识体系。学生既可以通过实践教学系统搭建仿真环境自主学习,又可以点播、跟踪指导教师授课视频进行学习,不断强化学习者对网络空间安全的整体规划意识。这个整体规划意识是网络空间安全、网络安全、信息安全相互之间的联系,三者之间存在相互区别又相互促进的关系。

每节课都提供详细的PPT教案与教学视频供学生学习,课程涵盖基本的知识量且在完成规定的授课学时后,还将课程进行深度与广度的拓展,如挖掘应用技术和国内外网络空间安全领域发展的最新进展,不仅为学生提供充足的、具有自主性的学习资源,还可为教师提供一次学习提高的机会。课程中除了知识讲解,还需设定学生提出问题并布置作业的模块。完善建设中的实践教学系统如图2和图3所示。

3 实践教学体系结构

文献[6]提出 “一个通过规则管理的虚拟的空间,这种空间称为‘网络空间’。网络空间的安全涉及设备层、系统层、数据层和应用层这四大层面上的问题,这是网络空间安全概念的初步定义。教学内容建设是课程建设的核心,综合考虑教学内容的可实践性、可扩展性、综合完备性等方面因素之后,我们利用网络自主学习的整体性原则,把网络空间安全课程的教学内容划分为设备安全、系统安全、数据安全和应用安全4个部分,每一部分重视和强化实践与实验环节,强调学生自学能力,以激发学生独立思考的思维。实践教学内容见表1。实践教学内容体系框架如图4所示。

4 实践教学任务规划

4.1 教学规划

综合表1和图4,具体的教学任务安排如下。

(1)设备安全:①防火墙建设与保护,如Linux防火墙配置、事件审计、状态检测等;②入侵异常检测,如HIDS部署实验、入侵行为检测实验、异常行为检测等;③容灾数据安全备份,如NAS存储、Linux RAID实验、IP SAN存储管理等;④通信安全,如语言保密通信实验、MAP信息安全传输、认证实验等;⑤服务器安全,如Linux日志管理、远程桌面安全配置、Windows网络管理等;⑥无线保护,如无线组测试、WEP密码破解测试、WPA配置测试等。

(2)系统安全:①操作系统安全,如Web安全配置、Linux用户管理、FTP服务安全配置等;②数据库安全保障,如MYSQL与SQLServer的安全审计、数据的安全备份与恢复等;③身份认证,如动态口令认证系统实验、人脸识别与检测编程实验等;④安全审计等,如文件事件审查、网络事件审查、主机监控实验等。

(3)数据安全:①密码学及应用,如密码学、PKI、PMI等;②密码破解,如Linux密码破解、Win密码破解、远程密码破解等;③信息防护,如图像信息和音频信息的隐藏与加密实验等。

(4)应用安全:①计算机病毒,如脚本病毒实验、木马攻击实验、PE型病毒实验等;②网络扫描与嗅探,如网络连通实验、路由信息探测实验、网络嗅探实验等;③逆向工程,如Aspck加壳、 Aspack反汇编分析、逆向工程高级实验等;④网络欺骗,如ARP_DNS欺骗实验、MAC地址欺骗实验、DOS攻击实验等;⑤缓冲区溢出,如缓冲区溢出初等级实验、缓冲区溢出中等级实验等。

4.2 实施路径

实施路径涉及教学内容的安排、教学大纲的撰写、实验验证与仿真、原理演示、实验步骤、复习讨论等方面,每一章节内容的路径设计如图5所示。

网络空间安全实践教学系统的设计具有以下4个方面的特点:①云部署,课程资源包部署于云端,可随时随地开展学习和分享;②进度掌控,随时掌握学习进度情况,通过作业了解学习效果;③断点保存,保存实验进度,分阶段完成课程;④灵活扩展,教师可灵活定制和调整课程,系统可灵活扩展和完善。

围绕网络空间安全学科,探索高校计算机专业在此领域的课程建设和教学改革,建成一个高质量、可共享的课程体系和培养方案,课程的建设成果将开源开放。

第11篇

目前我国网络安全问题因为硬件、软件技术及相关标准的缺失已经非常迫切,有关国家政策和组织机构的确立是最及时的决策和弥补。今年2月份,针对国家网络安全的挑战,中央网络安全和信息化领导小组成立,标志着我国已经将网络安全提到了国家战略的高度,打造一张安全网络已经不是“纸上谈兵”。

网络上的中国安全现状

“中国已经是一个网络大国,但大而不强。”在首都网络安全日“企业级信息安全技术高峰论坛暨中关村信息安全产业联盟移动计算工作组成立仪式”上,国家信息化专家咨询委员会委员汪玉凯表示,网络大而不强有四个标志:中国信息化排名不断下降;宽带建设比较落后;自主创新动力不足,关键技术受制于人;我国不同地区间“数字鸿沟”问题突出。

据权威机构统计的数据显示,目前我国互联网用户已经超过6亿,同时互联网企业的数量和规模正迅猛增长。互联网技术和应用带来的海量数据爆发性增长后,其安全问题逐渐显现,各类网络攻击、信息泄密、网络谣言等网络安全事件频发。诸如中国人寿80万页保单泄露,如家和汉庭等多家商业酒店用户信息泄露、圆通速递快件单信息倒卖等信息泄露事件等;“套餐窃贼”窃取70万用户信息、“支付鬼手”木马侵害手机支付安全、三星Galaxy S4出现高危短信欺诈漏洞、新型诈骗短信威胁移动安全、百度云盘手机版高危漏洞等等。

另一个在网络安全行业闹得沸沸扬扬的是OpenSSL漏洞。目前多数SSL加密网站都是用名为OpenSSL的开源软件包,其漏洞也被业界称之为“心脏出血”。今年4月9日上午,北京大学和清华大学某项网络服务被检测到存在“心脏出血”漏洞,同时也监测到来自北京联通的一个IP针对这些服务进行漏洞探测。360首席运营官谭晓生说,黑客通过“心脏出血”漏洞窃取数据,以64K为单位,一个包一个包地偷。SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。除了PC网站之外,移动互联网同样广受其害。

与此同时,随着“斯诺登事件”的曝光,来自网络空间上的全球争夺战也在打响。美国等大国纷纷加强网络防御,加大在网络空间的部署,国家级网络冲突的风险进一步增加。其次,西方国家频繁启动贸易保护安全壁垒,信息安全也成为中兴、华为等企业进入欧美市场的主要争论焦点。

今年正好是中国全面接入互联网20周年,各有关部门和行业负责人都对互联网20年现象进行了热烈的讨论,其中一个重要问题也是网络安全。工业和信息化部软件与集成电路促进中心主任邱善勤表示,目前我国关键信息系统主要面临设备被控、数据被窃及业务被瘫三类威胁。在美国“金刚”面前,我国的信息化应用系统几乎是“裸奔”状况。

随着信息化和网络化的快速推进,各类网络安全事件的影响程度将逐步加大,经济信息安全问题日益显现,网络安全保障需求也在快速增长。我们迫切需要重视网络安全发展战略,提升网络安全的保障能力,建起一张坚固可靠可信的安全网络。

建立全面的安全网络

2014年纽约时报爆出美国国安局窃取了华为的产品源代码和上千名客户资料,其数据量之大让人吃惊。尽管这些数据造成的损失目前还未有公开的进行统计,但是估计其对华为的后续商业活动必将造成极大的影响。同时通过这一窃密事件,更反映了当前我国企业的网络安全存在极大的漏洞。

在现实生活中,企业因为安全和信息化建设的不同步,造成的安全漏洞比比皆是。据记者了解,目前不少单位已经要求在信息化系统建设时同步进行安全规划与设计,但在随后的详细设计及开发环节就开始“分道扬镳”,从而导致信息系统的安全性与最初的规划设计风牛马不相及,要不就是在市场上随便找些安全产品补补“漏洞”,最终结果是安全规划设计形同虚设。

今年成立的国家网络安全和信息化领导小组提出“网络安全与信息化是一体之双翼”,将安全与信息化提到同等重要的高度上。那么在大型政企信息化建设工作中,如何有效落实“一体双翼”,真正达到“安全”与“信息化”齐头并进的效果?改变现状的有效办法是必须在详细设计及开发环节也要保持“安全”与“业务”的同步,将安全与应用在代码级实现接口,并建立紧密相关的联动机制,从而迫使两者同步推进。

同时,自主信息产业生态环境建设要围绕国家安全需要。特别是在集成电路、核心电子元器件、基础软件等核心关键技术领域取得突破,推动关键信息技术产品的国产化替代,在关系国家安全的重点领域有序开展国产产品和设备的替代工作。

微软今年宣布停止升级windows X P,对中国的信息安全产生严重影响。目前微软希望用户升级到Windows 8,但是如果升级到Windows 8,问题会更为严重。Windows 8跟可信计算严格绑定,所有的可信安全控制权全部由美国接管,改一个代码都要经过微软的认定批准,这会产生非常严重安全的问题。

第12篇

信息安全问题与互联网的发展相伴相生,在网络时代,我们一方面要享受到信息爆炸、社交便捷的福利,另一方面也需要应对信息泄露的风险。在医院的内部管理中,信息化建设已经成为一股不可逆转的发展趋势,因此,医院要想利用互联网提高管理效率,优化医疗卫生服务,就应该正视网络体系构建中存在的安全问题,并构建严密可行的管理措施,防范网络安全风险,让医疗信息、管理信息能够更好地服务于患者,确保医院的有效运行。

2医院网络安全体系构建中存在的问题

虽然网络体系的构建是医院信息化管理的必要环节,但是其在安全风险防范方面却依旧漏洞百出,使得医院的网络安全体系建设形同虚设,难以充分发挥其风险控制与防范的实际效果。具体来讲,医院网络安全体系构建中存在的问题如下:第一,医院内部系统对数据的收集与应用效果并不理想,目前多数医院对于网络系统的建设还处于起步阶段,许多数据的收集并不完整,例如电子病历的形成尚处于“模板+标签”阶段,缺乏专业化处理,影响了数据传输与共享效果,各部门之间的信息沟通不畅,“信息孤岛”的状况没有被完全打破。第二,网络安全规划缺乏投入,对信息安全的预期投入严重不足,虽然信息安全问题是医院网络信息系统构建的关键,但是从整体上来看,相关部门对于信息安全体系的构建并不积极,例如在硬件投入中缺乏预算支持,使得硬件设备一旦出现损毁就会造成大量医疗卫生信息的丢失;对软件技术的应用不到位,防火墙、加密系统的建立存在漏洞;各部门对于安全系统的认识存在偏见,在某一科室出现网络安全问题的时候则相互推诿,缺乏有效的追责与监督。第三,网络安全体系构建与实现的方案缺乏有效的落实,任何网络安全问题在没有爆发前往往都显得不那么重要,医院在网络安全体系建设中也存在这种侥幸,对安全规划的设计头头是道,但是到了具体的落实阶段却又推三阻四,影响了网络安全体系建设工作的实效性。

3医院网络安全体系构建与实现的相关对策

医院网络安全体系的构建与实现需要从硬件设备、软件系统、组织管理者三个方面入手。

3.1硬件设备安全的构建与实现

根据信息化管理的技术需要,医院的硬件设备安全管理主要包括以下内容:第一,网络布线。对于医院的信息化建设而言,网络布线不仅影响着系统的信息传递速度,更关系着信息沟通的安全,因此,相关技术人员应采取内外网物理断开的方法,对医院网络系统进行科学布线;考虑到信息安全,对于各楼宇的主干线可以采用光纤和备份光纤相结合的方式;在连接客户端的时候,应做好屏蔽处理,及时排除干扰源,保证信号强度,以及信息数据传递的有效性和完整性。第二,根据《电子信息系统机房设计规范》做好对机房的设计,如根据“电子信息系统机房的耐火等级不能低于2级”等规定做好防火安全管理;根据“主机房气流组织、风口及送回风温差”的相关数据做好防潮工作等,确保主机房能够充分发挥信息存储与传输的功能。第三,服务器、交换机的数据安全,在医院网络安全系统构建中,技术人员应对关键设备的基本性能以及冗余做好分析,并确保系统能时刻运行。为避免停电故障造成信息丢失,医院的服务器应采用不间断电源,并在出现安全故障的时候,自动接入另一个服务器完成信息备份,从而做好“双保险”,提高网络系统运行的持续性和安全性。

3.2软件安全系统的构建与实现

在网络安全系统构建中,系统软件可以通过与硬件设备的交互作用,实现对系统的控制与调度,并连接网络,实现信息的传输与存储。因此,医院在网络安全系统构建与实现中,应该不断完善软件系统,从而确保信息数据的安全。医院在软件安全系统的构建与实现上可以从以下几个方面入手:第一,设置安全口令。软件系统的登录应控制开放程度,利用安全口令对访问者的身份进行确定,在使用软件系统的过程中,口令的设置也应该提高安全系数,避免使用缺省值,保证长度不少于八位,且内容包含字母和数字及至少包含两个特殊字符。此外,为进一步确保软件系统的安全,相关部门的操作人员应对安全口令进行定期更换,提高被破译的难度。第二,安装杀毒软件。在医院的网络系统建设中,内外网的完全物理隔离是不可能的,只要存在接入外网的机会,病毒就会见缝插针对网络系统进行攻击。针对此,医院在网络安全系统构建中应该要求客户机及服务器安装杀毒软件,利用软件对病毒进行甄别与抵御,及时检测违规操作,并对高风险行为做出提示,控制病毒对网络系统的威胁。第三,应用防火墙。目前一些软件公司在技术研发中,对防火墙的设计更加严谨,医院在网络安全系统建设中,应利用方便、快捷的防火墙进行定期扫描,及时检测出危险信息,控制恶意脚本在目标计算机上的执行过程,避免外网攻击的入侵,以及信息的泄露。第四,加强对工作站的安全管理。各个工作站在使用系统的过程中,都应该利用账号、用户权限、网络访问以及文件访问等实行严格管理程序规范进行安全控制,严格监控光驱、软驱,USB接口等外来信息的接入,提高安全管理效果。

3.3组织机构的构建与实现

在医院的网络安全保障系统建设中,工作人员是落实安全措施、执行安全方案的主体。再高端的硬件设备、再完善的软件系统都需要人的操作来发挥作用。因此,医院在网络安全保障体系的建设中,应该将人的因素纳入其中,并确定、尊重其主体地位,利用安全管理制度,提高工作人员构建网络安全保障体系的能力。具体来讲:第一,建立一支强有力的安全管理小组,体现组织管理效果,并在管理小组内部做好明确分工,确保一旦出现安全问题能够迅速做出反应。第二,完善安全制度建设,对于医院网络安全管理人员而言,制度建设是规范其安全行为,提高安全方案执行效果的关键,因此医院应该从多方面做出安全规定,明确管理细则,推动安全管理人员工作的有序开展。第三,规范内部人员网络操作,根据信息安全问题的调查显示,操作者的不规范操作是造成病毒入侵,信息泄露的主要问题。因此,在组织管理中,医院应对内部人员的违规操作进行严格控制。第四,做好应急预案的制定与演练,对出现的信息安全问题应做好各部门的联动,提高应急能力,及时止损。

4结束语

总之,进入到互联网时代,信息化已经成为医院内部管理创新的基本思路,信息化的实现需要网路系统的支持,但是在网络系统构建的过程中,无处不在的安全问题使得医院的信息化建设举步维艰。针对此,医院应该从网络安全系统的建设要点出发,增加对硬件设备的投入,做好软件系统的技术应用,加强组织管理建设,进而完成医院的网络安全体系构建与实现。

参考文献:

[1]张宝伟.医院网络安全体系构建及实现方式分析[J].网络安全技术与应用,2018.

第13篇

关键词 说课 信息安全 教学 课程

中图分类号:G424 文献标识码:A

0 引言

本课程为信息安全专业职业岗位课程,服务于高职高专人才培养规划,坚持以行动任务为导向,工学结合培养为主线的人才培养模式。培养学生从事网络安全方案设计、网络操作系统安全部署、网络维护、信息安全管理等相关工作。本文从课程定位与目标、课程设计、教学内容和组织、教学组织与实施、实践条件与教学效果、教学队伍、教学改革与特色创新七个方面对课程进行详细的阐述,对教学理念进行符合高职教学规律的深层次的梳理。

1 课程定位与目标

1.1 岗位需求(如图1)

1.2 课程定位

信息安全基础是高职高专3年制信息安全专业的一门必修职业基础课程,一般安排在第一学期开设,在专业课程体系中起着引领专业课程体系的作用,其后续课程为安全防护工具、服务器安全防护和防火墙配置应用。

1.3 课程学习目标

(1)学习能力目标。通过本课程的学习,进一步培养学生的自主学习能力,掌握网络安全防护的基本过程和方法。

(2)职业能力目标。了解我国网络安全状况和相应的政策和法律法规,熟悉网络安全防护项目的实施过程和要领,能够熟练进行客户机和服务器加固操作,能够设计和实施中小型网络的安全防护方案,了解大型网络安全防护方案的设计与实施要领。

(3)职业素养目标。通过项目设计培养学生的统筹规划能力和工程文档编写能力,通过项目合作培养学生的团队合作意识和能力。

2 课程设计

以培养学生从事网络构建、网络管理与维护工作岗位所需的知识与技能为中心来组织教学。信息安全基础的课程开发流程:市场调研与召开实践专家研讨会 确定相关职业岗位群的典型工作任务 归纳行动领域 行动领域转换为学习领域 学习情境设计 学习子情境设计 课程教学资料建设 实际教学检验。为了保障课程与技术发展相一致,建议完成每个教学周期后,课程组均要依据以上课程开发流程对课程标准和课程内容进行修订。

3 教学内容和组织

3.1 教学内容选取

根据当前网络安全项目的规模,可将网络安全防护客户划分为普通网络用户(ADSL接入)、中小型网络和大型网络,由此根据教学单元设计内容涉及信息安全基础知识、信息系统安全体系、信息加密技术和网络安全实用技术方面来确定网络安全防护学习领域的学习情景如图2。

3.2 教学内容子情境设计组织

(1)普通网络用户安全防护学习子情境设计如表1。

(2)中小型网络安全防护学习子情境设计如表2。

(3)典型校园网全防护学习子情境设计如表3。

4 教学组织实施与重点难点

4.1 教学组织实施

在整个教学过程中,学生一般以小组的形式进行工作学习。在任务工作过程系统化设计情境学习中,要求每个小组选出一名同学担当组长,组长的职责是负责全队的组织协调,分配任务,组织讨论,提交实践报告,成果演示录像呈现,给其他组员评分等。

在具体实施教学过程中,本课程组把基于工作过程教学模式中的六步行动过程总结为教学中的四个环节:任务明确、教师示范、学生实践、展示评价。在这四个环节中,分别把握学生应该掌握的知识和任务,顺利完成教学和对学生的训练。

4.2 教学重点

普通网络用户安全防护方案的制定与实施:由教师首先讲解并演示Windows XP的安全防护操作,学生先学后做;教师指导学生进行Vista安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行Windows 7安全防护方案的设计与实施。

中小型典型网络的安全防护方案的制定与实施:由教师讲解典型网站安全防护方案的设计与实施,学生先学后做;教师指导学生进行典型网吧安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行典型企业网络安全防护方案的设计与实施。

4.3 教学难点

网络安全防护工程方案的设计与实施:通过Windows XP、Vista、Windows 7、典型网站、典型网吧和典型企业网络安全防护方案的设计与实施,掌握一般网络安全防护方案的设计与实施。

5 课程考核标准与教学效果

6 教学队伍

本课程教学团队现授课教师有7人,专业学术带头1人,专职教师中副教授2人,讲师3人,助教1人;其中具有硕士学位2人,在读硕士3人,“双师素质”教师达100%以上;网络架构工程师1人共同实施;达到理论实践的紧密结合,理论支撑实践操作的提高,实践技能验证理论的指导。在教学活动中,教师和学生相互学习,共同提高。本课程在建设过程当中逐步形成了一支学历、职称结构合理、师资配置完善、梯队建设良好、结构比例相对稳定的教学队伍。

7 教学改革创新与努力方向

7.1 教学改革创新

本课程采用校企合作、“教-学-做”一体化的教学模式。由本院与蓝盾股份有限公司紧密合作,组建蓝盾信息安全实验室,为“教-学-做”一体化教学提供了非常好的条件。

教学内容改革:教学内容与岗位工作内容的一致性。

本课程采用:模块课程模式项目(任务)课程模式活动课程模式工作过程系统化课程模式。

考核方式的改革创新

评价依据:过程技能考核+笔试 摒弃了传统的一卷考核方式,更加关注于学生的职业能力和职业素质的评价,创新性地采用了专业交流的方式,通过师生对专业问题面对面的探讨来增强学生的学习动力,同时考查学生专业能力。

7.2 努力方向

完善教学课程内容,探索新的教学手段;建立题库迎合学生考取认证;丰富项目案例资源不断改进教学方法;进一步完善师资队伍结构,培养并形成一支教学水平高、专兼结合的高素质教学队伍。

8 结语

目前,职业教育正处于日新月异的课程改革过程中,努力提升高职教育教学理念,创新体制机制,突出实践教学,深化课程改革,更新教学手段,课程说课作为现代高职教学改革的新课题、教学研究工作的新形式进一步彰显实践教学特色,必将成为推动我国高等职业教育发展的新动力。

参考文献

[1] 穆惠英.高职《环境监测》课程说课设计.中国科教创新导刊,2008.11.

[2] 秦毅,齐欣.《平面处理技术》课程说课设计案例.电大理工,2011.3.

[3] 陈丽,伍善广.高职高专《药剂学》.海峡药学,2011.23(8).

[4] 秦爱梅.高职院校《3dsmax》课程说课设计.计算机光盘软件与应用,2012(12).

第14篇

关键词:多园区工厂;网络设计;网络虚拟化;MPLS VPN;

0 引言

随着当前中国经济的高速发展,各企业的业务也随之快速扩张,由于市场竞争的需要,企业围绕关联产业和产业链形成有机的分工与协作关系的园区正在快速的发展,逐渐在区域形成了聚集效应。园区经济的形成也给各个企业带来了新的课题,为了提高竞争力,推进上下游产业的协同工作,进而更好地管理和沟通,就需要打通企业或部门间的壁垒,使企业的信息流畅通。但目前,多园区工厂的计算网络建设面临着以下几个挑战:高可靠、高性能、高融合、高安全、可扩展。

1网络技术和拓扑结构选择

1.1 拓扑结构设计

在企业园区网络整体设计中,宜采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的企业园区网络结构可以分成三层:接入层、汇聚层、核心层。

1.2网络虚拟化

为了提高网络的可靠性,传统的网络骨干拓扑结构一般采用冗余链路的方式提高数据交换的可靠性,其中备份的链路可以在链路或设备故障的时候启用,从而缩短链路中断的时间。在网络的核心层,标准的解决方案就是提供两台核心交换机,并采用VRRP 协议使其相互冗余,接入层交换机通过STP 协议,通过冗余链路连接至两台核心交换机。采用STP 协议可以自动阻塞其中一个端口,从而保证网络中不会出现环路,从而避免产生广播风暴。

1.3 网络隔离设计

目前在多园区企业存在着生产制造、运行管理、设计研发、园区管理、视屏会议等多种业务,因此在设计基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离,确保各部门业务的独立性和安全性,并且需要考虑在部署了业务隔离之后,如何对部分数据进行共享。

1.4 VLAN技术

VLAN(Virtual Local Area Network,虚拟局域网)是一种二层隔离技术,其原理是在交换机上划分多个VLAN,某 一个VLAN内的用户是相互可访问的,但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN,这样,其他VLAN的用户的网络上收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人所窃听,从而实现了信息的保密。

图1 VLAN技术

由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本,在二层网络中是一种安全高效的虚拟化技术。

1.5 VPN技术

VPN(Virtual Private Network,虚拟私有网)是一种基于三层的隔离技术,在20世纪90年代中期兴起,旨在通过公用网络设施实现类似专线的私有连接。其原理是在三层转发设备(路由器或三层交换机)上为每个VPN建立专用的VRF(Virtual Route Forwarding)表,各VRF表相互独立,具有特殊的标记,通过专用的隧道(GRE、MPLS、TE、IPSec、L2TP)将各VPN数据在公共网络上进行转发。通过特殊的标记,VPN数据在VRF和专用隧道中相互隔离,保证VPN数据的隐密性。

图2 VPN技术

1.6网络安全设计

网络安全是一个系统工程,需要作为一个整体考虑。网络安全作为一个整体的安全架构,可以从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。

2 设计实例

某企业园区现有五个生产制造园区进行产品生产,一个综合办公楼,包括研发、管理、市场等业务部门,并且综合办公楼包含一个600平方米的数据中心。需要建设一个覆盖而整个企业园区的计算机网络系统。网络需要支持生产制造、运行管理、设计研发、园区管理、视屏会议等多种不同规模的业务。

2.1需求分析

根据业主实际需求,将主要针对以下三个方面来对整体网络进行规划:

 核心骨干网设计;

 功能隔离设计;

 网络安全设计。

2.2核心骨干网设计方案

核心骨干网是整个网络的主要设计部分,该部分网络包括主办公楼、五个园区汇聚和相应的接入层网络部分。整个网络采用典型的三层架构:

 核心层

作为园区核心节点,两台核心交换机部署于院区主办公大楼,交换机之间采用万兆链路互联,与各个汇聚层节点也通过万兆互联,{司时使用千兆光口提供主办公大楼内的各个楼层交换机的接入,并在核心交换机上部署防火墙模块和流量控制模块。

 汇聚层

园区共有七个汇聚节点,每个节点对应一个生产园区和办公楼以及数据中心,各部署两台汇聚交换机,交换机之间采用双千兆链路互联,其与核心交换机之间以万兆链路为主、千兆链路备份的方式进行全互联,每台汇聚层交换机都配置一块流量控制板卡。

 接入层

所有接入交换机通过两个千兆光口同汇聚交换机实现双链路相连,从网络性能出发,所有接入层采用千兆到桌面设计。

图3园区网络规划图

如图所示,汇聚节点与核心交换机之问、接入层与汇聚层之间全部采用双链路互联。考虑到汇聚交换机两条上行链路在某些情况下(如园区建设中的施工原因等)出现链路中断的可能,汇聚层再部署双环的架构,环上链路同样运行OSPI及MPLS,使得在主万兆上行与备份千兆上行同时断掉的情况下,可通过环网来保证业务的正常运行,实现高速的链路自愈能力。

2.3功能隔离设计方案

VPN 所属资源 VPN拥有的路由 备注

L2/L3 L2/L3、 L2/L3、共享 无

L4 L4 L4、监控、Internet缺省路由、共享 互联网出口增加ACL,禁止生产区IP访问Internet

Internet Internet L4、监控、 互联网入口增加ACL,仅允许合法互联网IP访问Internet

监控 监控 监控、L4、Internet、共享 无

服务器群 OA、MES、ERP L2/L3、L4 各服务器仅允许自己业务相关的终端进行访问

表1 VPN规划

2.4网络安全设计方案

由于整个企业内部的生产控制信令及相关数据的采集,均会通过服务器传达。因此重点对服务器区域的安全防护进行规划。

如下图所示,整个数据中心主要由服务器区及安全管理系统区构成。

图 4 网络安全规划

3 结束语

第15篇

关键词:网络安全;信息安全;控制策略

中图分类号:TP393·08文献标识码:A文章编号:1009-8984(2006)02-0075-03

计算机网络作为现代社会的基础设施,越来越多地出现在人们的工作、学习、生活中,其作用越来越重要,并且不可替代。但由于人们的安全意识与资金方面的原因,在信息网络的安全方面往往没有太多的投入与设置。在信息网络形成的初期,由于信息资源和用户数量不多,信息网络的安全问题显得还不突出。随着应用的深入及用户数量的不断增加,各种各样的安全问题开始困扰网络管理人员,信息资源数据的丢失、系统运行效率下降、系统瘫痪的事情时有发生。因此,如何建立一个安全、稳定、高效的计算机信息网络系统,就显得十分迫切并成为重要的问题。

1计算机网络安全的内涵

计算机网络安全包涵“网络安全”和“信息安全”2部分。

“网络安全”(NetworkSecurity)和“信息安全”(In-formationSecurity)是指确保网络上的硬件资源、软件资源和信息资源不被非法用户破坏和使用。网络安全涉及的内容众多、范围广泛,如合理的安全策略和安全机制。网络安全技术包括访问控制和口令、加密、数字签名、认证、内容过滤、包过滤、防(杀)毒软件以及防火墙等。网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性、可控性、不可否认性以及保密性。信息安全的内涵也已发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。网络安全防范的内容也不再仅仅局限于硬件安全,具体说主要包含了物理安全、链路安全、网络安全、系统安全、应用安全及管理安全6个方面。

网络物理安全是整个网络系统安全的前提;链

路传输安全主要保障数据在网络上传输的真实性、

可靠性、机密性、完整性;网络结构的安全则体现在

内部网络与外部网络互联时来自外部网络的安全威

胁及来自内部网络自身的安全威胁二个方面;系统

安全指的是网络操作系统、应用系统的安全;应用的

安全不是一成不变的,要随时针对不同的应用检测

安全漏洞,采取相应的安全措施,降低应用的安全风

险;管理安全指的是通过安全管理制度的制定、责权

的制定、管理工作的执行来降低安全的风险。

2计算机网络安全的表现形式

2·1不良信息的传播

随着网络范围的不断扩大,应用水平的不断加深,越来越多的人进入到了Internet这个大家庭。目前,Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的年轻人来说危害非常大。如果不采取安全措施,会导致这些信息在网络上传播,侵蚀年轻人的心灵。

2·2病毒的危害

计算机病毒是一种人为制造的,寄生于计算机应用程序或操作系统中的可执行部分,并且能够自我复制、传播的程序。通过网络传播的病毒在传播速度、破坏性和传播范围等方面都远远超过单机病毒。网络中的计算机在运行、下载程序和电子邮件时都有可能感染病毒,一旦感染病毒,就有可能造成主机系统的瘫痪或者崩溃。

2·3遭受非法入侵及恶意破坏

一些人因为好奇心、功力心或者恶意心的驱使,利用网络设备、网络协议和操作系统的安全漏洞以及管理上的疏漏,使用各种非法手段访问资源、删改数据、破坏系统。对这些行为如不及时加以控制,也有可能造成主机系统的瘫痪或者崩溃,给用户带来严重的不良后果及损失。

2·4设备、线路损坏

主要是指对网络硬件设备的稳定性。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等。线路包括光纤线路、电缆线路、卫星线路等。它们分布在整个网络内,管理起来非常困难。由于人为或者不可抗力(如天气、自然灾害等原因)的因素,设备、线路会发生损坏或故障,这样会造成网络全部或部分瘫痪。

3计算机网络安全规划原则

在对计算机网络安全进行设计时,既安全、可靠又不加大投资,是我们应该坚持的总的原则。此外,在进行网络安全方面的规划时应当考虑的原则还包括:

3·1需求、风险、代价平衡分析的原则

对一个计算机网络系统所面临的威胁、安全需求、所承担的风险和所要付出的代价一定要进行定性和定量统一的分析,确保系统的安全策略、保护成本以及所要保护内容的价值必须平衡。

3·2综合性、整体性原则

对计算机网络的安全性设计一定要将系统内的设备资源、软件资源、信息资源和人力资源整体规划、综合考虑。只有从整体的角度综合地考虑问题,才有可能获得行之有效的解决措施,最大限度地保护用户的投资效益。

3·3一致性原则

主要是指网络安全问题应该与整个网络的运行周期并存,制定的安全体系结构,必须与网络的安全需求相一致。

3·4易操作性原则

目前,计算机网络系统任何的安全措施的最后实施者都是人,如果过程过于烦琐,本身就降低了系统的安全性。其次,所采取的安全措施不能影响整个计算机网络系统的正常运行。

3·5适应性、灵活性原则

安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应容易修改。

3·6多层保护原则

对任意一个网络来说,绝对的安全难以达到,任何的措施都不是绝对安全的,都可能被攻破。但是如果建立的是一个多层保护系统,各层之间相互补充,整个系统的安全系数也可以随之增大。4计算机网络安全管理的策略

4·1物理安全

在计算机网络当中,保证各种设备的物理安全是保障整个网络安全的前提。所谓的物理安全就是保护计算机网络设备、设施等免遭人为、自然灾害或各种计算机犯罪行为的破坏。具体可以包括以下几个方面:

4·1.1环境安全

主要是指计算机网络系统所在环境的安全保护。在对网络系统进行规划、设计、施工时一定要按照国家规范和标准进行。

4·1.2设备安全

设备安全主要是指应将一些重要的网络设备,如各种服务器、核心交换机、路由器等尽量实行集中管理。对集中管理的设备要做好防火、防盗、防毁措施,保证设备所处房间的正常温度、湿度。各种室外通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏。对于终端设备,如工作站、小型交换机、集线器和其它转接设备基本建设投资落实到人,进行严格管理。如果有条件,楼宇内的网络线路应在基础建设时就进行合理设计,综合布线。同时,在进行网络布线施工时一定要有详细的线路图纸,以备检查维修时使用。

4·2系统安全

4·2.1网络结构安全

网络结构安全主要是指网络拓扑结构是否合理、线路是否有冗余等。主要通过合理设计网络结构来达到提高网络安全的目的。

4·2.2操作系统安全

操作系统安全主要是指计算机网络系统中可网管交换机、路由器、服务器等采取的安全配置、权限限制、补丁程序安装等。

4·2.3应用系统安全

在计算机网络系统中使用的服务器种类繁多,各服务器应关闭掉一些不常用的协议或协议端口号。同时,应加强网络系统内用户的身份认证,确定网内用户的合法性。

4·3网络安全

网络安全是整个计算机网络安全解决方案的关键,主要有访问控制、入侵检测、网络安全扫描系统和防病毒系统等4个方面。

4·3.1访问控制

通过对计算机网络内各种可网管的交换机、路由器、服务器、内容过滤器、防火墙等设备进行严密的访问规则的制定和划分虚拟局域网(VLAN)的方式来进行细致的访问控制。

(1)运用交换机、路由器的访问控制技术

可在计算机网络内的可网管交换机及路由器上可使用访问控制列表(ACL)技术对网络内的用户来进行讯问控制。如:允许哪能些用户进行访问?允许用户访问哪些资源?是否允许管理人员以Tel-net、Web等方式进行远程管理?以及可进行远程管理的IP地址限制等。

(2)运用内容过滤器和防火墙

由于上网人员的种类繁杂,有些人的法律意识不强,对网络中的一些非法内容鉴别力不高,因此有必要在互联网的接口处使用内容过滤器。内容过滤器的主要用途是对一些不良网站或非法网站的内容进行过滤,从而达到净化网络目的信息资源的目的,保证网络信息安全。

配置防火墙则是实现网络安全最基本、最经济、最有效的安全措施之一。

使用防火墙的目的就是阻止来自不安全网络的未经授权的信息或不安全的信息进入专用网络,同时也可阻止专用网络内的不安全信息进入其它网络。

(3)运用VLAN技术

目前的局域网主要采用的都是以太网技术,而以太网技术是以CSMA/CD(载波侦听多路访问/冲突检测)的形式为技术基础的。任何二个主机之间的通信同时也可被同一网络上的其它主机所截获而用于非法目的。

为了克服以太网的广播问题,可以运用VLAN技术,减小网络广播的范围,防止大部分基于网络侦听的入侵。同时也可以防止病毒的大范围扩散。

4·3.2入侵检测

目前的入侵检测系统是根据已有的、最新的攻击手段的信息特征代码对进出网段的所有操作行为进行实时监控和记录,并按管理人员业已制定的检测策略实时响应(切断会话、报警等),从而防止针对网络的攻击与非法行为。

4·3.3扫描系统

通过使用各种扫描系统对网络中的服务器、路由器等设备进行攻击性扫描、分析和评估,发现并报告系统存在的漏洞和弱点,评估安全风险,建议补救措施。

4·3.4病毒防护

在网络环境下,计算机病毒有不可估量的威胁性和破坏力。目前,最好的病毒防护办法就是安装防(杀)毒软件并及时更新。同时及时更新、安装操作系统的补丁程序。

4·4应用安全

为了保证应用的安全,应严格控制内部人员开放本机的共享资源,不要轻易开放共享目录。例如,为了达到控制目的,可在三层交换机或路由器上对常用的135、136、138、139等端口的使用进行限制。对数据库服务器中的数据必须经常进行安全备份。

4·5安全管理

制定健全的安全管理体制是计算机网络安全的重要保证。但除了建立起一套严格的安全管理体制外,还必须培养一支具有高度的安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式有效地保证系统的安全。

网络内使用的IP地址做为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。

在计算机网络系统中,绝对的安全是不存在的。只能通过网络使用人员与管理人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,全面强化使用人员和管理人员的安全防范意识。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。

参考文献

[1]谢希仁·计算机网络[M]·大连:大连理工大学出版社,2003·

[2]赵晖·计算机网络安全与防护[J]·通信技术,2004,(3):25—26·