网络安全核心技术范例(12篇)
网络安全核心技术范文篇1
关键词:电子对抗系统;网络入侵;交互流特征定向
引言
随着我国互联网技术飞速发展,互联网技术已成为国家经济建设与国防建设的重要组成部分。在网络空间领域中,大量物质性、实质性信息源以数据化形态存在于漫无边际的网络空间内,数据信息安全成为网络研究中重要课题之一。在网络技术中,针对网络空间内部数据进行数据入侵是网络对抗中常用的技术手段。通过对目标系统的后台漏洞捕捉利用,达到入侵系统内部的目的[1-2]。在国防建设中,为达到干扰敌人通讯设施信号,争取主动战机的目的,采用电子对抗系统对对干扰设备进行协调统一调配,成为常用技术手段。在网络化浪潮冲击下,传统电子对抗系统无法完成对数据传输速度高、覆盖面广、隐蔽性强的网络数据入侵技术形成有效的干扰[3],网络入侵技术以其较强的隐蔽性[4],使传统的电子对抗系统形同虚设。针对网络入侵技术孕育而生的具有网络入侵监测功能的电子对抗系统虽然可以实现网络入侵监测识别的作用,但是,采用的传统网络入侵监测技术中内部核心算法与入侵数据监测机制逻辑存在较大的技术弊端[5],导致无法对多技术伪装处理下的入侵数据流进行有效识别、防护、应对,造成作战数据泄露。针对上述问题,提出电子对抗系统网络入侵检测技术优化研究方法。采用网络电子数据动态交互流特征定向技术、数据溢出监测算法与数据完整度监测机制三大模组,对现有问题进行针对性解决。从系统内部数据进、出交互入手,对被调用数据的监测逻辑进行优化,整体提升系统内部数据防护机制,达到对传统电子对抗系统网络入侵检测技术进行优化的目的。通过对提出的电子对抗系统网络入侵检测技术优化研究方法进行仿真实验,测试表明提出的电子对抗系统网络入侵检测技术优化研究方法具有入侵源监测响应速度快、准确度高、扩展性强、应用性好的特点。
1电子对抗系统网络入侵检测技术优化研究方法
1.1网络电子数据动态交互流特征
定向技术在提出电子对抗系统网络入侵检测技术优化研究方法中,针对现有网络入侵技术中多种隐蔽处理手段,普遍采用对入侵数据包进行数据源伪装处理,修改入侵系统自身文件权限,通过系统漏洞进行数据文件注入[6],达到入侵电子对抗系统地段核心部分的目的。此过程中,入侵数据包为达到隐蔽性,会通过创建伪文件数据[7-8]的形式对入侵的电子对抗系统进行数据替换,提升自身入侵数据源权限,释放扰乱数据,回传电子对抗系统中核心区数据文件,达到入侵攻击目的。为此,方法中就现有的电子对抗系统所采用的网络入侵检测技术进行数据流的专项优化,采用网络电子数据动态交互流特征定向技术,实时监控电子对抗系统中所有数据源动向,利用数据交互过程中数据核节点特有的节点特征指纹进行数据绑定。当有外来数据进行交互替换时,网络电子数据动态交互流特征定向技术会自动提取外来数据内部的特征指纹信息,网络电子数据动态交互流特征定向技术内核数据库中指纹信息会进行瞬态比对,一旦对比失败就代表外来数据具有不安全性。技术底层会自动对外来数据进行定向限制,并释放识别指纹特征代码对外来数据进行显现化处理。网络电子数据动态交互流特征定向技术中有三大模组构成,数据交互监控模组、数据权限管控模组、数据特征管理模组。1)数据交互监控模组,是网络电子数据动态交互流特征定向技术构成中前沿监测核心模组,具有对电子对抗系统中所有文件动向实时监控的作用。在不影响电系对抗系统正常运行的前提下,保证数据交互监控模组的最高权限必须满足模组与电子对抗系统的高集成这一条件。方法中利用同核分管的方式,利用电子对抗系统的底部数据权限进行外部对接端口化设计,通过端口对接方式使网络电子数据动态交互流特征定向技术中数据交互监控模组能够与电子对抗系统共用一个系统核心,获取最高管理权限,为模组的实时监控功能执行铺平道路。为了防止系统分权调用管理造成资源开销不足的问题,网络电子数据动态交互流特征定向技术中数据交互监控模组拥有一套完成的运算管理逻辑算法,能够满足文件监控所需要的运算与逻辑关联。算法具有独立绑定特性,只针对匹配权限下的数据监控逻辑性处理。(1)式中,t为数据原始状态,b为数据更新变换周期,y为异常数据触发系数。三者构成网络电子数据动态交互流特征定向技术中数据交互监控模组的逻辑运算核心算法。2)数据权限管控模组,是网络电子数据动态交互流特征定向技术构成中核心部分。具有对外来数据交互通讯权限管理的作用。当出现异常数据交互状态下,数据权限管控模组可以第一时间对异常数据源进行权限封锁,并建立权限管控区域,达到隔离异常数据,阻绝入侵扩散的目的。在网络电子数据动态交互流特征定向技术构成构造分配中,数据权限管控模组位于电子对抗系统管理权限的下级管理层,逻辑调配权限归数据交互监控模组的独立逻辑算法,由算法逻辑机制进行触发调配。因此,可以说数据权限管控模组与数据交互监控模组具有逻辑涵盖性关系。数据权限管控模组采用三点特征触发管控机制,通过对数据交互监控模组反馈信息分析、数据交互痕迹日志报告载入、电子对抗系统数据运行报告三者的数据综合分析,做出权限分配调动限制操作。方法中,采用UEEU权限触发机制算法作为数据权限管控模组逻辑执行算法。UEEU权限触发机制算法具有独立执行运算能力,同时,能够作为二级辅助逻辑辅助数据交互监控模组算法,进行数据交互的实时监控权限分配。(2)式中,f为权限提升频率系数,i为全线提升机制限制级别,y为权限释放源,n为异常权限限制系数。3)数据特征管理模组,是网络电子数据动态交互流特征定向技术构成中关键性基础模组。数据特征管理模组具有为上述两大模组提供数据源特征分析数据、获取交互数据内核数据指纹信息等重要关键数据的功能。通过自身特有多数据分离算法,能够完成对数据源的动态实时特征提取,能够分辨多种现有网络伪装技术处理后的数据流,快速分离伪装外层伪数据,准确识别数据真实内核指纹特征信息,成为上述两大模块正常运行提供保障。网络电子数据动态交互流特征定向技术设计中,数据特征管理模组具有绝对独立的运行平台,不受电子对抗系统内部权限调用与限制,最大程度化保证不受入侵数据的破坏与干扰。数据特征管理模组具有独立的运算机制,算法具有衍生性,能够适应实时变化的网络环境,进行自我升级、自我学习。
1.2数据溢出监测算法
电子对抗系统网络入侵检测技术优化研究方法中,考虑到现有电子对抗系统采用的网络入侵检测技术缺乏对系统自身数据溢出状况下,快速反应处理机制的模块设计,导致监测模组出现检测上遗漏的条件下,电子对抗系统内部文件完全暴露在入侵数据源的监控之下,造成数据泄露甚至数据完整性遭到破坏,不利于作战指挥。针对上述不足,采用添加数据溢出监测算法的方式,对现有电子对抗系统采用的传统网络入侵检测技术进行优化。利用对电子对抗系统数据量与数据交互记录日志的分析、运算,达到实时检测电子对抗系统是否出现数据溢出现象。通常条件下,当外来数据源通过非正当隐蔽手段注入到电子对抗系统内部核心区时,其入侵数据源会自动创建隐蔽性数据窃取回传通道。利用创建通道产生的核心运行子进程日志进行针对性技术分析,可以快速识别出多余进程是否属于正常系统创建进程。根据这一特点,设计出具有动态实时性的数据溢出监测算法,同时,为更好的快速定位电子对抗系统文件数据溢出源所在坐标,对数据溢出监测算法进行溢出源逻辑筛查机制添加。能够快速定位入侵数据,甄别伪装数据源。数据溢出监测算法由溢出数据检测式与溢出源定位式两部分组成,具体算法关系是如下所示:将模拟入侵数据带入数据溢出监测算法进行测试可以发现,数据溢出监测算法能够准确发现电子对抗系统中数据溢出现象,并且快速定位入侵数据源。在测试中可以看出,数据溢出监测算法运算逻辑条理清晰,算法运算准确度高、整理算法协调性良好。具体数据如表1所示。
1.3数据完整度监测机制
提出电子对抗系统网络入侵检测技术优化研究方法中,针对网络大数据环境下,国防军事应用要求添加了数据完整度监测机制这一电子对抗系统入侵检测模组。应对大数据环境下,电子对抗系统网络入侵手段向网络数据处理化转移的形式。传统单一应对远程漏洞定向注入等入侵手段,已无法对安全级别高防护性强的电子对抗系统进行侵入操作。相比较传统方法,网络化大数据侵入技术可以利用强大的云端系统编码运算能力,快速定位电子对抗系统薄弱位置,并进行渗透式侵入,隐蔽性与破坏性更大。数据完整度监测机制能够利用自身高效、轻便的云K算法,对电子对抗系统交互端口进行防御性动态监测。同时,对内部系统核心区数据进行完整度瞬态评估,当发现系统核心完整度缺失时,数据完整度监测机制立即触发数据溢出监测算法与数据权限管控模组,对电系对抗系统核心区数据进行外传数据调用权限降级,阻断外部数据对核心区文件的数据获取。利用数据溢出监测算法快速锁定溢出数据范围,云K算法利用自身内部数据通道与大数据云端平台进行资源链接,匹配应对方案,阻断电子对抗系统一切数据探测性对接。保证电子对抗系统数据安全。在云K算法中,还有多套完整度检查机制,同时具有云端更新的特性。因此,云K算法是对电子对抗系统采用的传统网络入侵检测技术升级优化的核心算法。方法设计中,将数据完整度监测机制中的云K算法作为技术平台内核进行设计编写。利用上述两大模块与4大核心算法对其进行功能对接,充分发挥云K算法的大数据运算处理能力,关联一切资源数据,有效地快速识、别定位、阻断入侵数据。
2实验与结论
对提出电子对抗系统网络入侵检测技术优化研究方法进行仿真实验测试,通过仿真实验进行模拟实际状态下,电子对抗系统在运行过程中受到网络入侵。通过对现有电子对抗系统采用的传统网络入侵监测技术与提出的电子对抗系统网络入侵检测技术优化方法的测试数据对比,证明提出方法的可行性与性能优越性。实验配置,硬件平台为CPUi54200UDDR32G内存,软件配置为,liunx平台采用传统网络入侵技术的电子对抗系统,采用优化后的电子对抗系统。
2.1入侵检测性能对比测试
仿真实验流程为,在相同条件下对采用传统网络入侵技术的电子对抗系统与采用优化后的电子对抗系统同时进行网络入侵数据预警响应时间测试、入侵数据源锁定处理时间测试、被入侵数据溢出数据流锁定时间测试、检测入侵源准确度测试、入侵检测连锁反应措施执行完整度测试、电子对抗系统完整度测试、检测运行资源开销测试。通过表2的仿真实验测试数据对比可以看出,在网络数据入侵检测响应时间上,经过优化的网络入侵检测技术具有明显优势,且在其他各项测试指标数据上明显优于传统网络入侵检测技术。通过上述对比可以证明,提出的电子对抗系统网络入侵检测技术优化研究方法具有实用性强、准确率高、响应速度快、资源开销小、检测体系完善等特点。
2.2网络入侵手段识别测试
仿真实验流程为,在相同条件下对采用传统网络入侵技术的电子对抗系统与采用优化后的电子对抗系统同时进行8种入侵手段识别测试,入侵方式等级逐级增加。对比采用传统网络入侵技术的电子对抗系统与采用优化后的电子对抗系统的检测识别效果。具体参数如表3所示。通过表3数据可以证明,提出的电子对抗系统网络入侵检测技术优化研究方法具有较强的入侵识别能力与数据更新能力。
3结束语
本文针对现有电子对抗系统在网络入侵检测方面存在的问题进行了针对性分析,并提出了电子对抗系统网络入侵检测技术优化研究方法,通过对入侵手段、入侵源、入侵数据交互三个方面,对现有网络入侵技术进行了优化。通过仿真实验郑明,提出的电子对抗系统网络入侵检测技术优化研究方法,各项测试数据优于传统网络入侵检测技术,满足提出方法改进要求,为网络入侵检测研究领域提供新的设计思路。
参考文献:
[1]朱娜.入侵检测技术在Linux网络系统中的应用研究[J].信息安全与技术,2015,10(3):63-65.
[2]蔡显军.网络入侵检测系统关键技术研究与实现[D].华北电力大学,2015.
[3]何鹏程,方勇.一种基于Web日志和网站参数的入侵检测和风险评估模型的研究[J].信息网络安全,2015,3(1):61-65.
[4]方绪鹏.面向网络窃密的入侵检测关键技术研究[D].北京:北京邮电大学,2015.
[5]赵萍,孟祥义.电子战中网络安全防护设备效能评估和检测技术[J].电子对抗,2015,12(3):29-33.
[6]毕军,庄文玲.探析计算机网络安全中入侵检测系统模块的设计[J].电子技术与软件工程,2014,9(11):219-220.
[7]袁琴.基于无线网络的入侵检测系统设计[J].电子技术与软件工程,2014,3(10):236-236.
网络安全核心技术范文篇2
【关键词】电信网络;网络安全;技术分析
1.网络安全的概念与主要技术手段概述
网络安全是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术,保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。从网络的组成结构来看,网络安全的概念涵盖了网络组成硬件的安全、网络运行的安全以及网络数据的安全三个层次。网络安全运行的基本目标包括以下三个方面:①信息的保密性,即实现用户信息不被非法用户获得和利用,以及不被合法用户非法使用;②信息的完整性,信息的完整是指信息的存储和修改等操作都必须在授权的前提下进行,避免出现存储信息的破坏或丢失;③信息的可用性,信息的可用性是指在需要向用户提供网络信息时,能够及时的将对应权限内的信息完整的提供给用户。为了实现以上网络安全的基本目标,就必须依赖于一定的技术手段,目前在保证网络安全运行方面技术手段主要有以下6大类:数据加密技术、数字签名技术、消息认证技术、身份鉴别技术、访问控制技术以及PKI技术。这几类技术手段从不同的角度来实现对网络安全运行。由于这几类技术的技术难度和应用需求各异,因此在适用范围上会有所差异。
2.电信宽带城域网的网络安全问题分析
对于网络运行商来说,网络安全基本的、也是重要的目标就是保障各级网络的正常运行,对蠕虫病毒和DDOS攻击等常见攻击形式应当具有一定的抵御能力。为了保障网络安全,已经普遍采用防火墙技术、数据加密等技术手段,提高了面临网络攻击时的应对速度。但这些技术手段都还需要不断的维护和升级才能适应网络的发展步伐。
为便于讨论,本文仅限于对电信宽带的城域网网络安全问题的探讨。笔者认为当前电信城域网网络的安全问题主要表现在以下几个方面:①在网络规模越来越大的情况下,并没有形成一套能够有效的城域网安全管理体系,现有技术对网络安全的保障力度不够;②缺乏网络在运行中的实时诊断、监控技术,在面临网络攻击时缺乏有效的应对技术手段;③对不同服务级别的安全承诺SLSA缺乏有效的服务模式。
在上述几类问题存在的情况下,要让电信网络正常运行并为客户提供更好的增值服务,首先是保障网络的可用性,这是网络安全基本特征之一。而就当前城域网网络安全的主要威胁来看,对网络可用性威胁最大的因素是DDOS攻击和网络滥用。因此这是首先需要着力解决的问题。为达到这一目标,就必须建立各层次网络的防护系统,规范网络边界,对各业务系统范围内的网络提供有效保护,并提高面临网络攻击时的应急处理能力。从具体实施步骤上看,笔者认为应当完成以下三类基本的任务:①提高对网络中异常流量的监控力度,加强对城域网出口层、汇聚层、接入层等各个级别的网络设备的监控;②加强对网络数据的源地址合法性审查;③完善各级网络的安全管理机制,形成一套集网络监控、攻击应对机制、常规安全管理为一体的网络安全管理模式。
3.技术体系分析
3.1网络边界的保护措施
电信宽带城域网的网络层次结构包括出口层、核心层、汇聚层和接入层四个部分。对上述四个网络组成部分的边界保护是实现网络安全的基础之一。具体到各个层次而言,相应的安全控制措施为:①出口层,通过访问控制列表来控制进入电信城域网流量。②核心层,对与核心层相连接的网络端口进行数据包的ACL控制,加强对核心层基础网络设备的保护,对核心层管理系统进行安全强化。③汇聚层,汇聚层的安全控制是网络安全控制的核心,是网络用户数据汇聚的层次。为了加强这一层次的安全管理,首先应加强对网络数据包的监控和管理,可通过配置uRPF来防御源IP地址欺骗,同时开启TCP拦截或者CAR来限制网络流量以避免高频网络数据包攻击。此外,对已知网络病毒的防御也应在汇聚层的设备接口处来完成,可通过配置访问列表的方式来进行拦截。④接入层,启用uRPF或配置ACL,以加强对IP地址的控制和对外访问,依据需要还可以选择ICMP限速等其他功能来配合接入层的安全控制。
3.2应用系统的安全防护
应用系统的安全防护是配合当前电信网络中部署的DNS服务器、邮件服务器、数据库等的正常使用。应用系统的安全防护的内容主要是指主机的安全防护、应用系统的入侵检测、应用系统的安全隔离以及病毒防护等。现分别对这几个方面的安全防护方式进行探讨。
(1)主机安全防护
主机的安全对于网络安全的重要意义不言而喻。主机的安全防护应首先从主机系统的漏洞修补开始,及时对主机所使用的系统进行更新和病毒检测。此外,为了避免主机在遭受攻击时造成大面积的服务瘫痪,应将重要的服务内容分布在不同的主机上,并将主机的使用权限进行严格的限制。
(2)访问的安全控制
对应用系统访问的控制是保护系统数据安全的重要手段,当前电信网络应用系统中对访问的主要控制手段是网络隔离和密码更换等方式。从理论上讲,对访问的控制应当是全方面的,从物理层面到技术、管理层面都应实施相应的控制手段,而不应当局限于当前采用的技术手段。
(3)安全隔离手段
当前电信网络中的安全隔离手段主要是设置防火墙来实现对网络边界的保护和访问控制。因此鉴于这种普遍存在的情况,在防火墙的设置时应在以下几个方面进行改进。1以网络重要性为基础,将网络划分为具有不同安全级别的区域,在各个区域的边界设置不同的防火墙安全级别,并依据安全隔离的需要配置合适类型的防火墙设备。除了对硬件和软件上的改进,更重要是对不同安全区域之间的访问进行控制,根据网络的结构变化和业务上的需求来实时的调整访问控制的管理的方式。
(4)入侵检测
以防火墙为主要安全隔离手段的网络攻击防护并不能完全保证系统不被非法入侵,而且也无法抵御来自系统内部的攻击,因此还需要配合系统的入侵检测来进一步保障系统的安全性。从系统的检测形式来看,主要分为两类,一是来自网络的系统入侵检测,二是针对主机的系统入侵检测。对于来自网络的入侵检测通过基于网络的IDS宿主机来实现是比较理想的方式,可以对网络数据包来源进行检测和识别,具有较好的实时性,并可对受到的攻击留下证据。基于主机的IDS能够监视系统的所有操作,在配合基于网络的IDS方面有不可替代的作用,因此是其重要补充。总之使用基于网络的IDS与基于主机的IDS的配合使用是检测系统监控和实时入侵检测的必要手段。
(5)病毒防护
对病毒的防护是保障网络安全的又一个重要方面,应对可能存在的网络安全漏洞进行定期的检查分析,并采取常规的防病毒措施。一旦发生系统病毒感染,关键阻止病毒的进一步扩散和查杀病毒。当病毒无法及时清除时,需要采取必要的应急措施来避免损失扩大,可采取以下几个方面备用应急措施:1对发生病毒感染的主机实施必要的隔离;2阻止被感染主机向外发送数据包;3必要时关闭邮件服务器,以避免病毒以邮件方式扩散。
4.应用实例
4.1基本设置
本节中以某地电信防护DDOS攻击应用为例来阐述网络安全的防御技术。该公司在防御DDOS攻击时采用Detector攻击探测器和Guard保护器的组合防护策略,该防御策略的工作流程如图1所示。
4.2系统配置
(1)清洁中心的配置
根据DDOS的攻击原理,清洁中心越靠近攻击源头则越能够发挥其作用,因此将清洁中心布置在网络中比较脆弱的连接部位上游。
(2)Guard保护器的配置
该公司城域网中共配置有两套Guard保护器。每套设备配置3条链路与核心设备连接,参数为:10GE链路×2+1GE链路×1,流量的转发和吸引由10GE链路完成,链路冗余由1GE链路完成。
(3)Detector攻击探测器的配置
Detector攻击探测器的工作需要依赖于一定的监控平台,此处的安全监控平台由Cisco和Detector共同构成,Cisco和Detector通过2个GE接口连接,并在核心链路中加入分光器,将发往用户的光信号分流,监控平台和用户之间光信号分流比例为2:8。在Cisco上配置SPAN作为进入将Cisco的流量镜像至Detector的途径。此外,配合使用MSP设备,在策略路由中使用ACL过滤用户流量,只将监测对象的流量复制至Cisco以节约带宽。
4.3测试结果概述
为检测上述配置应对网络攻击的能力,采用模拟方法来进行检验。在实际测试中,采用4台机模拟网络攻击,当产生的攻击流量在200Mpbs时,Guard的CPU使用率不超过3%,能够较好的应对网络攻击。当采用子ZONE方式时,Guard可有效分流被攻击主机的数据流,从而保障服务器的正常运行。
参考文献
[1]陈继宏.电信网络信息安全的体系结构[C].中国航海学会通信导航专业委员会论文集.
网络安全核心技术范文篇3
[摘要]高校校园网已成为高校信息化建设的重要支撑平台,本文根据高校实际情况,从设计目标、思想和原则入手,分析并设计了高校校园网方案。
[关键词]校园网核心设备设计
随着计算机网络的发展,校园网已经成为高等院校走向信息化时代的必然发展趋势,使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本,硬件网络系统为物质基础,同时以网络软件系统实现系统的管理与使用,是一个具有宽带通路和交互功能的专业性局域网,应具有教学、科研、管理和通讯等四大功能。
一、设计目标
校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。具体而言这样的设计目标应该是:建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连:在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。
二、设计的关键
1.网络技术选型
在校园网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过度,保护用户的投资。所以要根据实际应用的需要,采用千兆以太网作为校园网的主干网,因为作为整个校园网的信息交换中心,网络的速度会直接影响到其他各子网的性能;在建设多媒体教室时,由于网络中将会有很多的图像和声音的传输,因此对带宽和传输速度有很高的要求,采用快速以太网就是最好的选择;而对于其他一些只有诸如简单文件传输之类的应用的环境,采用以太网就能满足要求。不同网络技术的复杂程度,在一定程度上直接影响校园网的维护、管理和使用效果。千兆以太网继承了以太网的技术简单,容易学习掌握的特点,是校园网的首选技术。
2.校园网的出口解决方案
目前,高校校园网IP资源及注册域名基本来源于中国教育科研计算机网——CERNET,但资费比较高,除了重点高校,带宽也受到了很大限制。而随着用户数量的不断增加,多数高校原有CERNET接入带宽已不能满足需求,扩大校园网出口带宽迫在眉睫,但扩大出口带宽带来的一个直接问题便是网络信息费的急剧增大,与CERNET相比,通过本地ISP接入CHINANET,在相同接入带宽的情况下费用较低。所以,采用双出口方案是高校校园网发展的一个新趋势,它综合运用了静态、网络地址转换和策略路由等技术,充分整合了CERNET及本地ISP的优势资源,是一种行之有效的校园网出口瓶颈解决方案。
3.网络核心设备的选择
(1)骨干带宽的选择。网络应用的增加对网络带宽提出了直接的需求。事实上,从1983年802.3标准的正是成立开始,以太网技术经过20年的发展,已进入万兆以太网(802.3ae标准)的时代。校园网络应用也是极其丰富的。并且随着组播技术在校园的应用,校园网核心层将面临严峻的考验。出于对网络发展的考虑,基于网络业务的发展,在拥有近万个信息点的高校采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来,先采用千兆骨干,但核心设备必须支持万兆,并且在教育行业有应用,证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率,有效地保证了多媒体教学、数字图书馆等业务的开展。
(2)处理能力。核心层是网络高速交换的骨干,被设计成尽可能高速包转发率,同时能够提供高速的Internet的接入和高冗余性能,同时由于各高校基本采用了Internet和CERNET双出口,而且出口的速率不同,所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能,本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块,支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力,需要线速的数据转发和数据交换功能,即高背板带宽支持和高性能网络处理芯片的支持;由于是核心设备,还必须考虑整体网络的灾难备份和设备冗余,在设计中考虑的设备冗余需要有设备支持和协议支持,设备支持就是指在核心不能由单台设备进行整个网络的数据交换,需要有至少两台设备对整个网络进行有效的支撑,并已经具备灾难备份的硬件支撑能力。在协议上,需要支持冗余协议,实现整体网络冗余。支持在单台设备失效的同时,在最短的时间切换,避免网络损失。
对于核心交换机在整个网络的设计,还要考虑整体业务的支撑方式,因为设备只是物理承载层面,而用户需要在该物理层面实现其业务,达到职能和流程的有效快捷,这样,物理设备的业务支撑能力就至关重要。核心设备应提供分布式L2/3/4层接口板处理应用流(视频、话音、数据)、重要用户的优先级,支持NAT、MPLS、VPN、策略路由等应用;支持基于端口、MAC、VLAN、IP、应用类型等多种Qos;支持四个优先级队列和WRED、WRR、PQ、WFQ等流分类、排队、调度和整形机制。赋予交换机高度的智能性,高效支持各种应用业务。
对于核心设备在网络中的举足轻重的位置,安全对于整个网络来说也整个网络的至关重要的,对于外部的黑客攻击和内部的病毒攻击的屏蔽,是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制,防止非法内容的访问;广播包抑制及广播源定位功能,保证网络用户安全。
(3)对于未来的扩展设计。对于在中心位置的核心设备的设计而言,随着时代的改变,其业务结构和规模也会改变,这样需要整个网络设备能够对未来的变化具备应对措施;由于核心设备是数据和业务的核心,所以,不能轻易的进行更换,同时,考虑到成本的因素,除非核心设备已经完全不能支撑目前业务的进行,否则,基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样,对于未来的扩展性就变得异常重要,核心设备扩展槽,接插模块类型,端口密度数应有所考虑,以保证整体设备的高性价比。
4.安全方案的部署
从各高校网络现状分析,目前面临的网络安全威胁来源主要来自以下几个方面:一是来自Internet的安全威胁,各高校有自己独立的链路通往Internet。从Internet上的任意接入点对本局域网发起的基于网络的攻击,以及对外公开的应用服务器的攻击,这样可以造成网络性能的急剧下降,应用服务器的瘫痪。使整体网络正常的内、外双向通信、存储等服务受阻或中断;二是来自校内局域网内部的恶意安全攻击,网络连接学生的计算机,学生有可能基于学习的目的可能使用各种入侵的软件,给系统造成隐含的威胁;三是高校内各相关部门的数据上报采用FTP方式逐级复制,处于完全敞开和透明的模式,只要掌握IP地址,传输数据就可以被轻易截获,从而造成保密信息的泄露;再有来自操作系统、应用系统本身的漏洞及来自互联网、内部局域网的病毒安全威胁的攻击。学校范围内的病毒防护不能依靠个人的自觉性,应当从网关、服务器、客户端多个层面来统一部署,实施整体病毒防护解决方案。这样才能从根本上杜绝病毒的发作和传播,有效地保护学校内部资源,同时对新出现的病毒有一个很好的、快速的响应系统。作为学校网络安全的防线,防火墙、入侵检测、防病毒系统是必不可少的,它可有效的对来自外网和内网的攻击做出及时告警,并给予一定的响应措施。
5.专网的设计
近来年,各高校依托校园网线路的其他各项应用也相继加入。如校园一卡通工程,涉及到全校师生及校财务、图书馆、餐饮等多个部门。既有用户的身份识别,有又用户的消费,所以,应考虑到此类应用的专网设计。包括设备选择、VLAN划分、IP规划、访问列表设置等。再有,校保安系统视频监控、冬季取暖温度采集系统都将工作在校园网上。
6.其他注意问题
在用户管理、计费方面,要保证计费数据的准确,交换机可以支持用户账号、IP地址、MAC地址、交换机端口、VLAN的绑定,保证了用户上网期间IP地址不被盗用,支持基于流量/时长/包月/带宽的计费及其组合计费方式。
在用户日志管理方面,业务管理平台和接入交换机配置可以实现完善的用户日志功能。用户访问日志的内容包括用户名、源MAC、VLANID、源IP、目的IP、访问时间。用户的目的IP地址改变时会产生一条日志。根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器,与服务器的日志相对应追查出一些事故的责任人。
在网络管理方面,网络管理软件支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
此外,高校用户数较多,所以,故障管理、集群管理、流量性能监控等也是必不可少的。
网络安全核心技术范文
二层交换网络其主要弱点是在局域网内不能划分VLAN,同一个网段内的工作站过多会引起广播风暴甚至导致网络瘫痪;不能有效地解决异种网络互连,安全性控制等等问题。而目前成为流行趋势的三层交换技术的网络架构(全千兆局域网),很大程度上避免了二层交换技术网络架构的缺陷,能改善网络整体性能。
二层交换技术的缺陷
众所周知,二层交换技术是在OSl七层网络标准模型中的第二层,即数据链路层进行操作的,它按照所接收到数据包的目的物理地址即MAC地址来进行数据转发,对于网络层或者高层协议来说是透明的。它不处理网络层的jP地址,不处理高层协议,诸如TCP,UDP的端口地址。它只需要数据包的MAC地址,数据交换是靠硬件来实现的。其优点是交换速度快,缺点是广播域太犬,而且不能处理不同IP子网之间的数据交换。这种网络结构扁平,没有层次化概念。
网络初期采用二层交换技术的网络架构,核心交换机采用二层交换技术,在只有1百台左右工作站的情况下,网络性能较理想。由于网络规模在不断扩大,工作站增加到几百台甚至上千台的时候网络性能就会明显下降,在数据传输高峰期(例如网吧内看电影的人超过一半时)网络整体速度缓慢,这是因为流量巨大的情况下,中心交换机背板带宽不够。另一方面在实例中用网管软件分析,发现网络中广播包所占比例很大最高时达到60%左右。另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风暴,而且一旦发生广播风暴,很难查找故障点,网络维护工作量很大。
三层交换与VLAN结合
三层交换技术,也称多层交换技术或lP交换技术,是相对于二层交换技术提出的,因工作在OSI七层网络标准模型中的第三层而得名。传统的路由器也工作在第三层,它可以处理大量的跨越IP子网的数据包,但是它的转发效率比较低,而三层交换技术在网络标准模型中的第三层实现了分组的高速转发,效率大大提高。简单地说,三层交换技术就是“二层交换技术+路由转发”。它的出现,解决了二层交换技术不能处理不同IP子网之问的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。它不受网络用户的物理位置限制,而是根据用户需求进行网络分段。JEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。不同VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此,使用VLAN技术,结合数据链路层和网络层的交换设备,可搭建安全可靠的网络。
划分VLAN的目的是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。更重要的是隔离广播信息,划分VLAN后广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。在划分VLAN时,要考虑VLAN对于网络流量的影响,单个VLAN不宜过大,这样可以增强网络应用的灵活性。
层次化架构三层网络
三层网络架构采用层次化模型设计。即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次核心层
(网络的高速交换主干)、汇聚层
(提供基于策略的连接),接八层
(将工作站接八网络)。
核心层:核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性可靠性、高效性,冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
汇聚层:汇聚层是网络接八层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻杨层设备的负荷。汇聚层具有实施策略、安全,工作组接人、虚拟局域网(VLAN)之间的路由,源地址或目的地址过滤等多种功能。在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到同络隔离和分段的目的。
接八层:接八层向本地网段提供工作站接入。在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。
网络安全核心技术范文篇5
关键词:移动通信网络;安全风险;安全机制;安全技术
中图分类号:TN929.5;TN918文献标识码:A文章编号:1674-7712(2013)22-0000-01
信息安全是数字化通信中需要考虑的关键问题之一,特别是用户数量非常大、应用场景非常广泛的移动通信领域,保障网络的通信安全尤为重要。移动通信网络具有覆盖范围广、传输数据量大,内容私密性高等特点,一旦出现信息泄露,则所造成的损失是难以想象的。为保障移动通信网络的信息安全,就必须采用高安全性和高可靠度的加密技术对所传输的信息进行处理。
一、移动通信网络中的安全问题现状
移动通信网络的普及极大地推动了社会的发展,但是在其应用过程中,多种安全问题也随之出现,特别是现代移动通信技术和智能终端设备的推广与普及更是为网络安全带来了更多的安全隐患。具体来说,移动通信网络中所面临的安全问题主要存在于终端设备、接入网和核心网等三部分。
在终端安全方面,使用智能操作系统的终端数量越来越多,应用也越来越丰富,但是其在提升用户体验的同时,也成为了可被利用的工具,可对无线接入网、核心网设备以及其他终端节点等进行攻击,如针对终端用户信息的窃取和篡改、针对用户通信和网络访问的数据窃听、针对终端操作系统的破坏和修改、针对终端存储数据的破坏等。
在接入网安全方面,移动通信系统的特性决定了用户信息是经由开放的信道进行传输的,所传输的数据非常容易被截取或攻击,无论是在GSM网络中,还是在3G网络中,用户终端接入网络时的认证过程或传输内容都非常容易被外界截获。虽然3G网络在用户认证和数据加密等方面进行了完善和改进,但是新型的,通过欺骗认证获取终端信息的方式也得到了改进,用户仍旧会面临巨大的安全隐患,如非授权数据的非法获取、数据完整性攻击、拒绝服务攻击、相关业务非法访问攻击、主动用户身份捕获攻击、针对性的加密流程破解等。
在核心网安全方面,现有的3G技术均着重对网络接入和加密机制等安全内容进行了定义,但是由于需要保证一定程度的兼容性和过渡性,故3G网络内的核心网面临安全威胁的情况依然存在,特别是未来核心网向全IP网的过渡,更是会将IP网络中存在的安全威胁和漏洞引入到移动通信网络中,如通过冒充窃取或非法访问获得用户数据、篡改用户通信消息、伪装或干扰用户正常通信服务、对非授权业务进行非法访问、利用信令漏洞进行安全攻击、利用IP攻击方式对核心网进行攻击等。
二、移动通信网络安全目标
针对上述问题,在应用相关的安全技术对移动通信网络进行优化时可以从以下几方面目标出发,针对性地建立高安全性和高可靠性的安全防护机制。(1)保证与用户相关的信息不被误用和盗用;(2)保证移动通信网络环境内的资源和业务得到有效保护;(3)保证网络标准化内容中具有一个或多个可广泛应用的高强度加密算法;(4)保证3GPP安全特征、机制和实现能被扩展和加强,确保其具有良好的扩展性和可更新性;(5)保证相关功能的实现具有一定的兼容性。
三、移动通信网络安全关键技术
(一)网络规划
移动通信网络具有区域性、层次性等特点,其在规划过程中就应该做好安全防护措施,特别是在边界区域或衔接位置更应该做好相应的网络保护与整合工作。如使用IP分配技术将移动通信网络按照网络类型、服务区域等分为多个可隔离的区域,这样既能够缓解系统所面临的通信压力,还能够解决网络中存在的安全问题,避免网络安全威胁的进一步扩大。
(二)信息加密
对通信数据进行加密可以有效保护无线信道中传输数据的安全性和可靠性。移动网络的通信链路具有非常高的开放性,不法分子可以非常容易地获取无线信道中传输的数据。若采用高强度的加密算法和通信机制对用户基本信息、网络参数、通信数据等进行加密保护,可以将所传输的数据转化为不可识别的密文信息,即便发生窃听等入侵行为也无法获得真正的传输报文,从而实现信息的安全保护。移动通信中的加密技术主要集中在公钥加密方面。
(三)身份认证和安全协议
利用身份认证可以对接入网络的用户进行身份鉴别,避免非授权用户接入网络,进一步防止其他恶意攻击行为的出现。移动通信中的身份认证和安全协议技术有IMSI认证协议、TMSI认证协议、密钥协商协议等。这些协议不仅能够完成用户身份的验证还能够有效保障数据信息的完整性,做到一次完整信令过程加密,还能够通过双向认证或单向认证等确保通信链路的安全性和信息交换的可靠性。
(四)信息过滤
信息过滤规则和技术可以将移动通信网络内的无用信息、垃圾信息、虚假信息、恶意信息等滤除或屏蔽,提升移动网络的有效载荷,避免上述信息过多的占用系统资源,甚至导致网络拥塞,影响用户通信质量。信息过滤的效果好坏是由信息类型识别结果所决定的,故实际应用中需要根据具体情况设定一套完备的信息过滤规则。
(五)多信道传输
多信道传输技术可以将通信数据分散到多个信道中进行传递,若希望获取完整的数据内容需要同时获得所使用多个信道的数据信息,只截获部分信道数据是无法获得完整的传输内容的。该技术可以大大降低恶意安全攻击行为的成功概率,减少因信息泄露所带来的安全风险。
四、总结
随着现代移动通信网络的应用,网络通信安全得到了广泛的关注,为保证无线通信数据的可靠性和有效性,必须立足无线通信网络的开放性这一特点,选用有效的安全技术和安全规则对网络安全进行完善和补充,保障移动网络用户的使用体验。
参考文献:
[1]孔祥浩.关于3G通信网络安全问题的探讨[J].电脑与电信,2010(01).
[2]沈立武.3G移动通信系统的网络安全对策分析[J].中国新技术新产品,2013(02).
网络安全核心技术范文
关键词:财税部门网络信息安全调查研究
中图分类号:TP3文献标识码:A文章编号:1672-3791(2014)02(a)-0035-02
随着财政、地税和国资业务的不断应用和发展,我局的财税网络已从最初的纯内部系统的局域网,逐步扩大到上联省财政厅、省地税局,下联各税务分局、各乡镇财政所的三级纵向网络;从财税系统内部网络,逐步扩大到各预算单位、非税执收单位、各银行和工商国税社保等数据共享交换部门的横向互联互通的开放型网络。开放型的网络,对于我们的财税工作带来便捷的同时,也使我们的信息安全面临严峻的考验。如何有效的建设和管理我局的财税网络,提高系统的可靠性、安全性和完整性,确保网络与信息安全,是我们要考虑的首要问题。
1我局网络与信息安全建设现状
在网络设备和架构方面:我局的财税内部网络以一台思科4006三层交换机为核心(如图1所示),通过三台防火墙将整个网络划分为服务器区、内联区、办公区和外联区。服务器区主要为各类财政、地税和国资信息系统服务器,通过一台防火墙进行安全防护;内联区为连接省财政厅、省地税局、各基层分局、便民中心和部分银行区域;外联区通过百兆防火墙连接财务专网、政务网等,并增设一道防火墙,用以通过VPN设备接入我局内部网络的二级行政事业单位(如图1)。
在信息安全制度和管理方面:一是信息安全组织机构健全,成立以局长为组长的网络与信息安全领导小组,设立单位专职信息安全员且设置AB岗。二是制度建设较为完备,制定出台了《计算机机房管理制度》等制度,并实现《计算机网络与信息安全管理责任状》的全覆盖签订。三是信息安全防护管理较为规范。通过双主机方式实现因特网和内网的物理隔离,部署防火墙、入侵检测系统和漏洞扫描等系统,定期对安全产品进行巡检和开展应急演练等工作。
2网络与信息安全风险分析
尽管我局的网络与信息安全建设在近几年扎实有效推进,但由于财政、地税和国资业务的迅速发展,对网络的性能和扩展性要求越来越高,再加上核心设备比较陈旧,现有资源濒于耗尽,来自各方面的网络与信息安全风险形势严峻。
2.1来自设备环境方面的风险
一是核心设备存在单点故障且使用年限已久。核心交换机、内网防火墙和服务器防火墙都是单机单链路配置,任何上述设备的故障都会导致整个网络崩溃。部分核心设备使用年限已久,远远超出维保期限,出现故障概率较大。二是核心设备性能和扩展性存在严重瓶颈。核心交换机思科4006购置于2003年,整体性能已无法承受我局系统业务处理的需求。三是网络机房UPS供电和温湿度环境方面的风险。我局网络机房均为单路UPS供电和单台空调控温,未配备环境监控系统,一旦出现故障,将会延误处理。
2.2来自网络结构方面的风险
目前内联和外联单位均接在同一个防火墙下,与内网未严格隔离,不少银行单位更是直接与核心交换机直连,给我局内网安全构成严重的安全威胁。
一是来自政务网等外联单位的风险。目前我局网络与政务网、国税、社保、便民中心和市内11家银行均有专网互联,由于网络设备资源问题,甚至有部分银行临时接在了核心交换机上,这些外联单位对我局的网络安全带来较大的风险。二是来自财务专网接入单位的风险。因国库集中支付和乡镇财务管理的需要,我局财务专网延伸到了各行政事业单位和乡镇财办,专网点数达100多个,这些专网接入单位的终端计算机等同于我局内网终端计算机,可通过核心交换机访问我局服务器资源,但由于其分散在各个部门和乡镇,给我们的管理带来较大的困难。三是来自VPN拨号接入单位的风险。为解决专网建设成本高的问题,我局于2009年购置天融信SSLVPN设备,作为部分二级行政事业单位的财务专网接入,该设备一旦出现故障,将直接影响通过该设备接入单位的系统应用,存在较大的单点风险。
2.3来自网络管理方面的风险
一是操作人员安全意识和技术缺乏带来的风险。操作人员对于信息安全没有太多的认识和技能,有的甚至认为网络与信息安全仅仅是技术部门的事,于己无关。二是制度不完善和执行不到位带来的风险。由于信息技术的不断发展,出现了很多新技术和新产品,容易出现制度文件的漏洞和执行不到位情况。三是技术防护策略不严密带来的风险。我局在网络安全方面投入了较多的设备,如防火墙、VPN、防病毒软件,IDS等,但这些产品的功能比较分散,形成了相互没有关联的、隔离的安全孤岛,相互之间没有有效统一的管理调度机制,从而使其应用效能无法得到充分的发挥。
3网络与信息安全建设的对策与措施
针对我局的网络现状和存在的上述网络与信息安全风险,提出如下对策和措施,以全面提升我局的网络与信息安全整体保障水平。
3.1加强安全宣传和培训,提升防范意识和技术能力
(1)加强全员宣传培训,增强防范意识和责任意识。进一步加强网络与信息安全知识的宣传和培训,完善培训机制、拓展培训内容、丰富培训和宣传的方式,使系统广大干部掌握常见的网络与信息安全知识和防范技能,提高信息安全问题的处置能力。
(2)加强网络技术人员培养和激励,提升专业技术能力和工作积极性。如果没有专业技术人员进行安全策略配置、日常监控管理,安全产品即使再多再先进,也只能是一种摆设,技术人员的水平高低将直接影响一个单位的网络防护能力,因此,需要进一步加强专业技术人员的引进和培养,使其掌握较强的专业技能。同时,由于专业技术人员工作的特殊性,需要其经常牺牲休息时间加班加点进行系统调试和配置优化等工作,有必要进一步完善针对技术人员的激励制度,以增加其工作的积极性。
3.2加强网络规划和投入,提升系统自身免疫能力
针对我局网络设备和架构现状,我们提出如下改造目标:消除核心设备单点故障,实现核心交换设备的虚拟化,架设千兆基础的主干网络,合理划分安全等级区域,满足可预期内视频等各种高数据流量信号的网络运行要求,提高网络总体运行水平和故障应对能力(见图2)。
通过加大硬件设备的投入,并整合利用现有资源,对整个内网网络作如下改造(改造后的网络拓扑如图2所示):根据各区域安全防护级别不同,分别设置核心区、外联区、内联区、服务器区和办公区等区域。一是在核心区新购置2台核心交换机(含防火墙模块)做虚拟化方案,替代原有的思科4006交换机,消除核心设备单点故障;同时在该区域部署IDS、IPS、漏洞扫描和桌面终端管理平台等安全产品。二是在外联区新购置2台千兆防火墙通过双机热备作为外联区防火墙,并在网闸的配合下,隔离外联单位,新增一台VPN设备做双机热备。三是在办公区新购置4台二层交换机作为机关大院各楼宇的汇聚层交换机,实现主干网络的千兆架构。通过合理的规划、设备的投入和安全产品的整合,建立一个完整的、立体的、多层次的网络安全防御体系,进一步提升网络系统自身的免疫能力。
3.3加强制度建设和执行,建立信息安全运维体系
信息安全防护“三分靠技术,七分靠管理”,再好的信息安全防护系统,如果没有好的管理制度、管理策略和运维体系相配套,也是形同虚设。
一是建立健全网络安全制度体系。要针对网络与信息安全的薄弱环节、关键环节和容易忽视的环节,制定、修改和完善具有较强操作性的制度,通过制度来强化信息安全。建立健全机房安全、系统运行、人员管理、密码口令、网络通信、数据管理等网络与信息安全管理制度,提高安全防范水平。
二是建立网络安全管理联动机制。实行网络安全管理的“三级联动模式”,即计算机使用人员、分局计算机管理员和市局专业技术人员三者联动,充分发挥分局计算机管理员作用,使其做好所在单位的网络与信息安全日常维护工作,缩短计算机和网络故障的处理时间。
三是强化日常维护和监督管理。加强网络设备的日常运行维护,定期开展设备保养,对设备运行中存在的隐患及时了解和掌握,排除存在的不安全因素和故障,变运行维护工作由“事后救火”为“日常保健”。加强网络与信息安全的日常监督管理,定期或不定期的开展网络巡查,及时发现干部职工在网络与信息安全方面的违规行为,防微杜渐,变“事后处理”为“事先预防”。
3.4加强等级保护定级和整改,全面提升系统安全等级
开展等级保护工作,对于进一步完善我局信息安全制度体系,规范信息安全管理,增强信息系统安全保护的整体性、针对性具有非常重要的意义。
一是合理划分信息系统等级。针对我局各类信息系统种类多的特点,根据不同信息系统的业务类型、应用或服务范围和系统结构等基本情况,合理确定信息系统的安全等级并向公安机关备案。
二是认真做好等级保护测评和整改工作。根据公安部门备案审核结果,选择具有国家相关资质的测评机构,对我局的信息系统进行等保测评,并根据测评结果进行整改落实。
三是定期开展自查和接受公安部门检查。定期对信息系统安全状况、安全保护制度及措施落实情况开展自查和接受检查,对未达到相应等级保护要求的,及时进行整改。通过信息安全等级保护工作,全面提升我局的信息安全保障能力和整体水平。
参考文献
[1]高长永.计算机网络安全问题及其防范措施[J].网络安全技术与应用,2013(11).
网络安全核心技术范文篇7
关键词:安全三要素;计算机网络;信息安全;防范策略;保障作用
在信息技术飞速发展的今天,黑客技术和计算机病毒也在不断之变化,其隐蔽性、跨域性、快速变化性和爆发性使网络信息安全受到了全所未有的威胁。在这种攻与防的信息对抗中人、技术和管理都是不可或缺的重要环节。
一、网络信息安全的问题在哪里?
(一)技术层面的问题
1.网络通信线路和设备的缺陷
(1)电磁泄露:攻击者利用电磁泄露,捕获无线网络传输信号,破译后能较轻易地获取传输内容。
(2)设备监听:不法分子通过对通信设备的监听,非法监听或捕获传输信息。
(3)终端接入:攻击者在合法终端上并接非法终端,利用合法用户身份操纵该计算机通信接口,使信息传到非法终端。
(4)网络攻击。
2.软件存在漏洞和后门
(1)网络软件的漏洞被利用。
(2)软件病毒入侵。
(3)软件端口未进行安全限制。
(二)人员层面的问题
1.系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低;文档的共享没有经过必要的权限控制。
2.技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施。
3.专业人员利用工作之便,用非法手段访问系统,非法获取信息。
4.不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。
(三)管理层面的问题
1.安全管理制度不健全。缺乏完善的制度管理体系,管理人员对网络信息安全重视不够。
2.监督机制不完善。技术人员有章不循,对安全麻痹大意,缺乏有效地监督。
3.教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。
二.网络信息安全的防范策略
(一)技术层面的防范策略
1.网络的基础设施安全防范策略
(1)减少电磁辐射。传输线路做露天保护或埋于地下,无线传输应使用高可靠性的加密手段,并隐藏链接名。
(2)使用防火墙技术,控制不同网络或网络安全域之间信息的出入口,保护网络免遭黑客袭击。
(3)使用可信路由、专用网或采用路由隐藏技术。
(4)网络访问控制。访问控制是网络安全防范和保护的核心策略之一。包括入网、权限、目录级以及属性等多种控制手段。
2.软件类信息安全防范策略
(1)安装可信软件和操作系统补丁,定时升级,及时堵漏。
(2)应用数据加密技术。将明文转换成密文,防止非法用户理解原始数据。
(3)提高网络反病毒技术能力。使用杀毒软件并及时升级病毒库。对移动存储设备事前扫描和查杀。对网络服务器中的文件进行扫描和监测,加强访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(4)使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。还可以使用分布式、应用层、智能的入侵检测等手段。
(5)数据库的备份与恢复。
(二)人员层面的防范策略
1.对人员进行安全教育。加强对计算机用户的安全教育、防止计算机犯罪。
2.提高网络终端用户的安全意识。提醒用户不使用来历不明的U盘和程序,不随意下载网络可疑信息。
3.对人员进行法制教育。包括计算机安全法、计算机犯罪法、保密法、数据保护法等。
4.加强技术人员的安全知识培训。
(三)管理层面的防范策略
1.建立安全管理制度。对重要部门和信息,严格做好开机查毒,及时备份数据。
2.建立网络信息综合管理规章制度。包括人员管理、运维管理、控制管理、资料管理、机房管理、专机专用和严格分工等管理制度。
3.建立安全培训制度。使安全培训制度化、经常化,不断强化技术人员和使用者的安全意识。
三、安全三要素的保障作用更重要
在保证网络信息安全的过程中,技术是核心、人员是关键、管理是保障,我们必须做到管理和技术并重,技术和措施结合,充分发挥人的作用,在法律和安全标准的约束下,才能确保网络信息的安全。
(一)技术的核心作用
不管是加密技术、反病毒技术、入侵检测技术、防火墙技术、安全扫描技术,还是数据的备份和恢复技术、硬件设施的防护技术等,都是我们做好网络信息安全防护的核心要素,技术支撑为我们建立一套完整的、协调一致的网络安全防护体系起到了核心的作用。
(二)人员的关键作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,还是程序开发人员、技术维护人员,还是网络黑客,都是我们构建网络安全环境的关键因素,成也在人,败也在人。
(三)管理的保障作用
管理是不可缺失的,不论是技术上的管理,还是对人的管理,不论是技术规则,还是管理制度,都是网络信息安全的保障。很多安全漏洞都来源于管理的疏忽或者安全培训的缺失。
四.多说两句
网络信息安全是一项复杂的系统工程,涉及人员、技术、设备、管理、制度和使用等多方面的因素,只有将安全三要素的保障策略都结合起来,才能形成一个高效安全的网络信息系统。世上没有绝对安全,只要实时检测、实时响应、实时恢复、防治结合,做到人、技术和管理的和谐统一,目标一致,网络信息就能安全。
参考文献
网络安全核心技术范文篇8
一、网络架构与网络核心技术
(一)网络架构的本质及其安全问题
从本质上看,网络就是把计算机联接起来的软硬件体系,而把不同国家和地区的计算机及网络相互联接起来就形成了互联网,其中因特网的影响力最大。除了因特网(Internet),美国还控制和运行着别的互联网比如“国际学术网”(BITNET),美国还从2018年开始启动“射月工程”,研发全新架构的互联网,用于替代有本质安全缺陷的因特网。互联网的基础是由地址架构、寻址协议、通信方式、网络设施等构成。地址架构就是构建网络地址的数据格式和表达方式,决定着网络空间的大小和特性,更是攸关网络安全,因特网的大量安全问题本质上就是因特网的地址架构存在严重缺陷并难以克服。寻址协议就是找到网络地址(网络空间)的方法,具体体现为一系列的接口软件,因特网目前广泛使用第四版TCP/IP寻址协议族即IPv4,正在推广第六版寻址协议族即IPv6,这些TCP/IP协议族的知识产权大多由其他国家垄断。通信方式是前往网络地址(网络空间)的道路,目前广泛采用第三代通信方式即IP分组、路由表广播等,对路由表广播的控制权是其他国家实现定向网络干扰或断网、定向窃取网络信息的技术基础,但并未引起我国安全部门的重视。网络设施主要由通信光缆、交换设备、路由设备、根服务器、计算设施、存储设施、操作系统、应用软件等组成,是目前政府和公众对网络安全的关注焦点。
(二)网络的核心技术组成
网络系统主要由网络通信基础设施(如光缆、路由交换器、通信基站、二次电源等)、网络运行系统(如路由系统、数据传输协议)、网络服务系统(如域名系统、用户认证系统等)和网络应用系统(如电子商务、云计算、区块链等)所组成。网络安全体系的构建必须要覆盖这四大组成部分,它们是网络安全体系中的核心技术组成部分,是网络安全体系的基础。一是网络通信基础设施。该部分可分成骨干网和接入网两部分。骨干网络设施是互联网的主动脉,以光纤和相关交换设备为主,在和平时期要确保其绝对安全可靠和高性能运行,以满足各类应用的需求;在战争时期,要尽量确保安全可靠的基础服务,满足特殊应用的需求。要达到这一目的,要保障一定数量的冗余网络设施,也可以研究新型网络技术来综合使用民间通信资源。接入网为用户终端提供入网服务,目前以有线和无线接入方式混合。我们需要提供更多灵活安全的接入方法。但是,无线通信信号更易被截取和受到干扰,所以要加强对无线通信安全使用方面的指导和对频谱资源使用的实时监管。二是网络运行系统。要逐步实现物理层、数据链路层、网络层和传输层等关键技术(协议、算法等)的绝对掌控,以确保网络的安全可靠和高效运行。主要涉及到物理信号的安全收发技术、网络安全接入控制、数据的快速交换和安全路由以及在网上所传数据的隐私性和完整性保护等方面。由于陆地移动用户数量巨大,海上和空中均无法使用有线连接,无线网络的应用越来越广泛。但是相对于有线网络,无线网络更易受到攻击,所以要加大研发和生产无线网络安全方面的技术和产品。三是网络服务系统。互联网的广泛使用离不开各类服务支撑系统,比如域名服务系统以及用户认证系统等。这些系统的安全性将直接影响应用的安全性,它们不仅仅与其所采用的技术安全性相关,更决定于运行和管理系统的组织者。比较著名的服务系统是域名服务系统,它主要负责将用户容易记忆的域名转换成网络数据传输认可的IP地址。目前该系统的运行由其他国家掌管,一旦它停止对某个域名进行解析,其所对应的服务就无法被访问。所以,该系统几乎控制了整个互联网的应用空间,对网络安全的影响巨大。独立的网络安全体系必须要摆脱这样的掣肘,但是要使一个新域名系统得到他人的普遍认可要比实现其技术难得多。所以一种可行的方案是研究多域名系统共存技术,以避免在一棵树上吊死的局面。四是网络应用系统。它是由通过网络所连接起来的各种网络终端设备和运行其上的各种应用软件所组成,主要终端包括服务器、数据库设备、个人终端以及各类传感器和远程控制设备等;应用软件系统更加多种多样,如购物、股票交易和网络游戏及在线会议和聊天等软件。虽然这些系统往往会自带安全机制,但是对于来自网上的安全威胁还是无法独自应对。例如,简单且历史悠久的分布式DOS攻击曾经使得一些著名服务系统瘫痪,如Google和百度浏览系统以及最近的湖南卫视等都遭受过类似攻击。对于来自于网上的安全威胁,我们除了要加强研发、部署隔断和防火墙等被动式防御措施外,更要研究主动式安全防御技术,以尽早发现和消灭安全隐患;同时要加强互联网空间司法刑侦技术的研发,以便于加强互联网空间法治执行的力度。
二、上海城市数字化转型面临的网络安全挑战
上海在数字经济强势崛起的过程中,必将面临诸多网络安全挑战,包括:一是出现更多形式的网络攻击及违法行为。数字时代的网络攻击及违法行为已经发展为以经济利益为目的,有组织、有计划,形式多样、防不胜防。例如:永恒之蓝勒索病毒;隐私窃取并定向诈骗的产业链;社交软件“杀猪盘”;等等。二是网络攻击及违法的技术门槛极低。比如,随意就能网购的改号软件、自动呼叫软件、基站跟踪软件、手机窃听软件、黑客软件等,让犯罪变得越来越便利。三是新的智能设备产生更多新的漏洞。如,居家摄像头、手机摄像头、手机APP、WIFI设备、大数据存储等,更容易被犯罪分子直接调用,导致犯罪门槛下降。四是万物互联的物联网带来全新的安全隐患。比如通过网络远程控制自动驾驶汽车的刹车、转向、油门等,远程从事恐怖活动、不怕追捕。五是数据泄露风险加剧。企业数据、个人信息被各企业及政府机构过度采集,信息泄露渠道过多、难以追责,危害人身财产安全及社会经济安全。六是网络犯罪违法成本过低。由于网络犯罪的隐蔽性、技术性、跨地域甚至跨国性,导致刑侦难度大、成本高,加上立法不够完善,造成网络违法成本相对过低。七是互联网缺乏自主可控性。目前我国互联网主要依赖其他国家因特网,随时面临其他国家的互联网霸权和长臂管辖。比如,2018年美国废除了《互联网中立法案》,可以合法使用因特网达成其政治、军事和经济目的。2022年美国宣布“清网行动”:取消中国通信公司在美国的营业执照;美国禁用中国APP;禁止中国手机预装美国APP;禁止中国公司提供云服务;禁止中国公司竞标海底光缆;等等。
三、上海数字化转型中网络安全体系建设的建议
网络安全核心技术范文1篇9
论文摘要计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。网络已经成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。政府、企业、团体、个人的生活都发生了巨大改变。网络的快速发展都得益于互联网自身的独特优势:开放性和匿名性。然而也正是这些特征,同时还决定了网络存在着不可避免的信息安全隐患。本文主要通过介绍目前在计算机网络中存在的主要安全威胁并提出构建网络安全的防护体系,从而对网络安全的防护策略进行探讨。
0引言
网络给我们提供极大的方便的同时也带来了诸多的网络安全威胁问题,这些问题一直在困扰着我们,诸如网络数据窃密、病毒攻击、黑客侵袭、木马挂马、陷门等。为了有效防止网络安全问题的侵害,计算机广泛地推广使用了各种复杂的软件技术,如入侵检测、防火墙技术、通道控制机制、服务器,然后尽管如此,计算机信息安全和网络安全问题还是频发。网络hacker活动日益猖獗,他们攻击网络服务器,窃取网络机密,进行非法入侵,对社会安全造成了严重的危害。本文就如何确保网络信息安全特别是网络数据安全进行了安全威胁分析并且提出了实现网络安全的具体策略。
1目前网络中存在的主要安全威胁种类
1.1计算机病毒
计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。WWW.133229.COm计算机病毒主要是通过复制、传送数据包以及运行程序等操作进行传播,在日常的生活中,闪存盘、移动硬盘、硬盘、光盘和网络等都是传播计算机病毒的主要途经。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
1.2特洛伊木马
利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
1.3拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
1.4逻辑炸弹
逻辑炸弹引发时的症状与某些病毒的作用结果相似,并会对社会引发连带性的灾难。与病毒相比,它强调破坏作用本身,而实施破坏的程序不具有传染性。逻辑炸弹是一种程序,或任何部分的程序,这是冬眠,直到一个具体作品的程序逻辑被激活。
1.5内部、外部泄密
由于黑客的目的一般都是窃取机密数据或破坏系统运行,外部黑客也可能入侵web或其他文件服务器删除或篡改数据,致使系统瘫痪甚至完全崩溃。
1.6黑客攻击
这是计算机网络所面临的最大威胁。些类攻击又可以分为两种,一种是网络攻击。即以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截取、窃取、破译以获得对方重要的机密信息。这两种攻击均可对计算机网络造成极大的危害
1.7软件漏洞
操作系统和各类软件都是认为编写和调试的,其自身的设计和结构始终会出现问题,不可能无缺陷或者无漏洞,而这些漏洞会被计算机病毒和恶意程序所利用,这就使计算机处于非常危险的境地,一旦连接入互联网,危险就悄然而至。
2网络信息与网络安全的防护对策
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全。
2.1技术层面上的安全防护对策
1)升级操作系统补丁
操作系统因为自身的复杂性和对网络需求的适应性,需要及时进行升级和更新,除服务器、工作站等需要操作系统升级外,也包括各种网络设备,均需要及时升级并打上最新的系统补丁,严防网络恶意工具和黑客利用漏洞进行入侵。
2)安装网络版防病杀毒软件
防病毒服务器作为防病毒软件的控制中心,及时通过internet更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件。
3)安装入侵检测系统
4)安装网络防火墙和硬件防火墙
安装防火墙,允许局域网用户访问internet资源,但是严格限制internet用户对局域网资源的访问。
5)数据保密与安装动态口令认证系统
信息安全的核似是数据保密,一般就是我们所说的密码技术,随着计算机网络不断渗透到各个领域,密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来新技术和应用。
6)操作系统安全内核技术
操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。
7)身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程吗,能够有效防止非法访问。
2.2管理体制上的安全防护策略
1)管理制度的修订及进行安全技术培训;
2)加强网络监管人员的信息安全意识,特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术,必须进行加强;
3)信息备份及恢复系统,为了防止核心服务器崩溃导致网络应用瘫痪,应根据网络情况确定完全和增量备份的时间点,定期给网络信息进行备份。便于一旦出现网络故障时能及时恢复系统及数据;
4)开发计算机信息与网络安全的监督管理系统;
5)有关部门监管的力度落实相关责任制,对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理的科学化、规范化。
参考文献
[1]简明.计算机网络信息安全及其防护策略的研究[j].科技资讯,2006(28).
[2]池瑞楠.windows缓冲区溢出的深入研究[j].电脑编程技巧与维护,2006(9).
网络安全核心技术范文篇10
关键词:多园区工厂;网络设计;网络虚拟化;MPLSVPN;
0引言
随着当前中国经济的高速发展,各企业的业务也随之快速扩张,由于市场竞争的需要,企业围绕关联产业和产业链形成有机的分工与协作关系的园区正在快速的发展,逐渐在区域形成了聚集效应。园区经济的形成也给各个企业带来了新的课题,为了提高竞争力,推进上下游产业的协同工作,进而更好地管理和沟通,就需要打通企业或部门间的壁垒,使企业的信息流畅通。但目前,多园区工厂的计算网络建设面临着以下几个挑战:高可靠、高性能、高融合、高安全、可扩展。
1网络技术和拓扑结构选择
1.1拓扑结构设计
在企业园区网络整体设计中,宜采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的企业园区网络结构可以分成三层:接入层、汇聚层、核心层。
1.2网络虚拟化
为了提高网络的可靠性,传统的网络骨干拓扑结构一般采用冗余链路的方式提高数据交换的可靠性,其中备份的链路可以在链路或设备故障的时候启用,从而缩短链路中断的时间。在网络的核心层,标准的解决方案就是提供两台核心交换机,并采用VRRP协议使其相互冗余,接入层交换机通过STP协议,通过冗余链路连接至两台核心交换机。采用STP协议可以自动阻塞其中一个端口,从而保证网络中不会出现环路,从而避免产生广播风暴。
1.3网络隔离设计
目前在多园区企业存在着生产制造、运行管理、设计研发、园区管理、视屏会议等多种业务,因此在设计基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离,确保各部门业务的独立性和安全性,并且需要考虑在部署了业务隔离之后,如何对部分数据进行共享。
1.4VLAN技术
VLAN(VirtualLocalAreaNetwork,虚拟局域网)是一种二层隔离技术,其原理是在交换机上划分多个VLAN,某一个VLAN内的用户是相互可访问的,但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN,这样,其他VLAN的用户的网络上收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人所窃听,从而实现了信息的保密。
图1VLAN技术
由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本,在二层网络中是一种安全高效的虚拟化技术。
1.5VPN技术
VPN(VirtualPrivateNetwork,虚拟私有网)是一种基于三层的隔离技术,在20世纪90年代中期兴起,旨在通过公用网络设施实现类似专线的私有连接。其原理是在三层转发设备(路由器或三层交换机)上为每个VPN建立专用的VRF(VirtualRouteForwarding)表,各VRF表相互独立,具有特殊的标记,通过专用的隧道(GRE、MPLS、TE、IPSec、L2TP)将各VPN数据在公共网络上进行转发。通过特殊的标记,VPN数据在VRF和专用隧道中相互隔离,保证VPN数据的隐密性。
图2VPN技术
1.6网络安全设计
网络安全是一个系统工程,需要作为一个整体考虑。网络安全作为一个整体的安全架构,可以从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。
2设计实例
某企业园区现有五个生产制造园区进行产品生产,一个综合办公楼,包括研发、管理、市场等业务部门,并且综合办公楼包含一个600平方米的数据中心。需要建设一个覆盖而整个企业园区的计算机网络系统。网络需要支持生产制造、运行管理、设计研发、园区管理、视屏会议等多种不同规模的业务。
2.1需求分析
根据业主实际需求,将主要针对以下三个方面来对整体网络进行规划:
核心骨干网设计;
功能隔离设计;
网络安全设计。
2.2核心骨干网设计方案
核心骨干网是整个网络的主要设计部分,该部分网络包括主办公楼、五个园区汇聚和相应的接入层网络部分。整个网络采用典型的三层架构:
核心层
作为园区核心节点,两台核心交换机部署于院区主办公大楼,交换机之间采用万兆链路互联,与各个汇聚层节点也通过万兆互联,{司时使用千兆光口提供主办公大楼内的各个楼层交换机的接入,并在核心交换机上部署防火墙模块和流量控制模块。
汇聚层
园区共有七个汇聚节点,每个节点对应一个生产园区和办公楼以及数据中心,各部署两台汇聚交换机,交换机之间采用双千兆链路互联,其与核心交换机之间以万兆链路为主、千兆链路备份的方式进行全互联,每台汇聚层交换机都配置一块流量控制板卡。
接入层
所有接入交换机通过两个千兆光口同汇聚交换机实现双链路相连,从网络性能出发,所有接入层采用千兆到桌面设计。
图3园区网络规划图
如图所示,汇聚节点与核心交换机之问、接入层与汇聚层之间全部采用双链路互联。考虑到汇聚交换机两条上行链路在某些情况下(如园区建设中的施工原因等)出现链路中断的可能,汇聚层再部署双环的架构,环上链路同样运行OSPI及MPLS,使得在主万兆上行与备份千兆上行同时断掉的情况下,可通过环网来保证业务的正常运行,实现高速的链路自愈能力。
2.3功能隔离设计方案
VPN所属资源VPN拥有的路由备注
L2/L3L2/L3、L2/L3、共享无
L4L4L4、监控、Internet缺省路由、共享互联网出口增加ACL,禁止生产区IP访问Internet
InternetInternetL4、监控、互联网入口增加ACL,仅允许合法互联网IP访问Internet
监控监控监控、L4、Internet、共享无
服务器群OA、MES、ERPL2/L3、L4各服务器仅允许自己业务相关的终端进行访问
表1VPN规划
2.4网络安全设计方案
由于整个企业内部的生产控制信令及相关数据的采集,均会通过服务器传达。因此重点对服务器区域的安全防护进行规划。
如下图所示,整个数据中心主要由服务器区及安全管理系统区构成。
图4网络安全规划
3结束语
网络安全核心技术范文篇11
论文摘要:作为未来最适应时代要求的政府工作形态,电子政务建设是我国当前信息化工作的重,点,未来政府办会发展的趋势。本文探论了综合电子政务平台的棍念、结构和相关技术,分析了电子政务所面临的安全威胁,并提出了相应的解决方案。
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2.4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3.1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(managedsecurityserviceproviders,mssp)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从it集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
网络安全核心技术范文1篇12
1通信网络安全分析
对于网络开放性、散发性等一系列特征,我们很有必要对网络管理人员进行网络通信安全以及技术进行培训,降低已知情况下存在的安全隐患。若是网络管理人员的安全意识不够明确外加技术操作的不够熟练将会对网络通信带来极大的危害。密件的发送或者是长期的反复使用同一种密码都会导致密码被破译。若是发出的口令以及密码不能够及时的回收而使得口令以及密码在使用期限以后还能够通过网络系统,将会对系统管理造成不可估量的后果。所以,对于此类问题,我们一定要加大力度对网络管理人员进行教育,使得其能够深刻理解安全性的重要。有的软件为了方便管理,在硬件系统设计上面都保留着远程终端控制,而且在软件设计的时候也会多少的存在一些安全漏洞,外加商用软件的公开化会造成网络通信的时候面临着被侵入的危险,破坏者可以利用软件的漏洞来对硬件进行直接有力的攻击,从而破坏整个网络系统,造成信息流失的损失。在传输信道上面存在着极大的安全隐患,原因在于传输信道上面没有与之相互对应的电磁屏蔽设备,所以信息在传输的道路上会向外辐射电磁波,不法分子会利用这个缺点来窃取商业信息以及军事机密。除此之外,在网络通信的建设和管理上都存在着极大的问题,例如核审标注的变动、标注的不统一、缺乏计划性、设备质量低、管理维护差、人为干扰因素以及网络效率低下。在以上所述的缺点中,我们要对网络安全性给予更多的关注。
2通信网络安全维护措施及技术
在日益发展的网络通信工程上,我们要更加关注网络通信的安全问题,这样才可以使得网络通信风险降到最低。要想使得风险降到最低,那么必定要在网络通信的硬件、软件以及数据流上下功夫,要确保网络服务能够可靠的稳定运行且不中断。我们可以采用以下陈述的措施来保护网络通信线路的安全,并且对非法侵入进行严密监测、防护以及追踪。我们最常运用的是身份鉴别即通过用户的密码或者是口令对网络通信进行分层次的保护,同时对于系统权限进行分级监测,权限受限的用户在网络通信的连接过程中变回被限制以及被屏蔽。而网络授权则是给网络通信的终端发送许可证书,未被受许可的用户是无法访问网络以及网络资源的。数据在传输的时候可能被截取,于是我们可以对数据进行一定的加密,这样在传输过程中即便是被截获也很难破译密码从而保证了数据的安全,达到了保护数据不被窃取的目的。在确认收发上面我们也采取了一定的防护措施,从而降低了争议。数据发送以后要保证数据的完整性,我们一般是采取核对数据的方式来使得这个过程完成。要想使得这个过程完成我们有两种方式达到目的,第一种便是一边接收数据一边对数据进行核查,第二种是等数据接收完以后在对数据进行核查。业务流的分析保护是防止大量垃圾信息造成网络通信隧道阻塞。要想上述的安全设施得以成功必须要有技术保证才可以,要多层次的采用安全技术以及防御系统,占主要成分的是防火墙技术。防火墙技术运用在网络对外接口上,对网络层进行层层保护以及限制。通过修改防火墙的数据流来达到网络安全保护目的,不留余地的阻止黑客的侵入,不容许他们随意修改数据以及删改网络信息。防火墙扮演着独一无二的安全角色,阻碍Internet上的危险成分蔓延到局域网的内部,因而称防火墙技术为最重要的一环。防火墙需要保护内部不受到外部的侵害,然而防火墙对于内部的保护措施做的还不算完善,例如在非法监控上面就做的不尽人意,入侵检测系统便是防火墙合理充分的补充,它能够对内外部的攻击做出相应的反应并且实现相应的保护措施,在网络通信系统受到攻击之前便能够及时地拦截,在很大程度上提高了网络系统的安全。网络加密技术是为了预防信息在网络上被拦截或者窃取而诞生的,这个是网络安全技术的核心所在。使用网络加密技术可以很好地对公共网络中传输的IP地址来加密保护,同时密封数据保证它的完整性以及保密性。这个技术解决了网络系统在公共网络中的传输问题。虚拟专用网技术是在一般的Internet上建立的一个临时的、安全的接口,相当于一个高度安全的地下隧道。公司机构信息、远程控制设备以及企业业务同伙的网络连接便是由虚拟专用网的数据通道来得以实现的,从而组建成为一个完整的企业内部网络。在使用此种技术的网络主机里是不会觉察到公共网络的存在。就目前而言网络系统安全的解决技术还是存在的,由于社会的发展,人们对于网络通信越来越严格,所以这也就使得网络通信安全维护要一直持续存在。我们必须不断向前的研究开发网络通信安全技术才能够紧跟时代的步伐。
作者:孔源单位:天津市东丽区疾病预防控制中心
