关于网络安全的总结范文

时间:2023-09-13 17:19:13

导语:如何才能写好一篇关于网络安全的总结,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

关于网络安全的总结

篇1

银川市交通运输局2020年网络安全工作总结

市委网信办:

按照《关于报送2020年网络安全工作总结的通知》要求,现将银川市交通运输局2020年网络安全工作具体情况总结如下:

一、主要措施及成效

(1)落实网络安全责任。成立银川市交通运输局信息网络安全工作领导小组,局长任组长,分管副局长任副组长,机关各科室负责人为成员,设置专职信息网络联系员,明确分工,责任到人。

(2)建立信息网络安全规章制度。根据《银川党委(党组)网络安全工作责任实施细则》要求,为确保信息网络安全,建立计算机安全保密、网络安全管理等工作制度。

(3)网络信息安全自查工作。现有部门网站、新媒体平台共4个。截止目前:@银川交通:共检索微博823条(全部)@银川公交:共检索微博617条(全部),经全面排查没有涉敏感性、政治术语错误及SH等词语的宣传内容。@城市客运:共检索微博8132条(全部),查出涉敏感词20条信息已删除,现全部整改完成。

(4)落实技术防范措施安全。一是严格把关文件的发布,完善签发、审批等制度,并要求信息网络管理员严格发布;二是第三方定期对部门网站安全进行排查,及时对网络系统进行更新,对措词、敏感词、暗链伪链错链及时整改。

二、存在的问题

根据《关于报送2020年网络安全工作总结的通知》要求,在认真梳理过程中也发现了一些不足:一是规章制度建立还不完善,未能覆盖全部交通系统所有方面;二是个别工作人员政治敏锐性还不够高,要加强防范意识;三是遇到计算机病毒侵袭防范意识薄弱,维护不够全面。

三、下一步工作

银川市交通运输局认真贯彻落实习近平总书记关于网络安全工作的“四个坚持”的重要指示精神,进一步加强信息网络系统安全,一是提高政治站位,充分认识到网络安全工作的重要性,把网络安全作为落实意识形态责任制的重要内容,切实履行责任并建立网络安全报送工作和联动机制,确保网络安全工作落实到位。二是强化协助。各单位和各科室交流互动,做好网络安全防护,风险评估,安排专人,密切监测。三是加强宣传和培训。充分利用局例会学习网络安全事件预防和处置的相关法律、法规和政策;开展网络安全基本知识和技能宣传活动;积极参加网络安全各类培训,提高防范意识和技能。

篇2

【关键词】 网络通信技术 网络安全问题 解决措施

伴随着网络技术的不断发展,计算机网络系统逐渐完善,实现了计算机之间的资源共享。计算机网络是由多台计算组成,网络通信的可靠性尤为重要,一旦出现网络安全问题,就会造成不同程度的损失。目前,网络通信的安全受到了设备、技术、结构等因素的影响,给人们的生活、工作和学习带来了不便。下面我们首先对影响网络通信可靠性的因素进行分析,然后提出有效的安全措施。

一、影响网络通信可靠性的主要因素

(1)技术因素。大多数计算机网络由不同网络系统组成,具有规模大、结构复杂、综合性强等特点。面对如此强大的网络,我们需要先进的管理技术和高素质的技术人员,能够在网络运行过程中,做好参数信息的采集工作,将网络通信过程中的情况进行记录,及时解决运行过程中的问题。

(2)结构因素。对于不同的计算机网络要配备合理的网络结构,一般来说,网络拓扑结构包括总线型、星型、混合型等。其中总线型的网络结构运用较广泛,在使用总线型结构时,大多数计算机都直接连接到总线结构中,这样会使整体网络简单化,具有很好的经济性。但是,总线型结构的可靠性相对较低,不能够保证网络通信的安全性,由此可见,选择合理的网络结构尤为重要。

(3)设备因素。在连接计算机网络时,使用的是客户终端,它能够影响网络通信的可靠性。在网络通信过程中,保证设备的安全性是网络通信正常进行的前提,换言之,只有保证客户终端的质量,确保网络正常连接,才能提高网络通信的安全。

二、提高网络通信可靠性的措施

(1)提高相关技术水平。要提高网络通信的可靠性,首先要选择科学正确的技术,利用技术支持来保证网络通信的正常运行。一般情况下,首先会采用余度设计、容错技术,就是将整个网络系统中的所有计算机设为彼此的后备机,这样以来,如果其中一台计算机发生故障,那么该台计算机的任务便可以交由后备机,从而减少了网络系统瘫痪的问题,进一步提高了网络通信的可靠性。除此之外,我们还需要加强研究新技术,全面考虑网络技术的发展情况、网络设备的使用等因素,提高网络的适应能力,使其能够在较长的时间段内保持正常运转,从而满足业务需求。

(2)改善网络结构体系。网络结构选择对保证网络通信可靠性来说尤为重要,选择网络多层结构体系不仅能够隔离故障,还能够实现负荷分段并支持一般网路协议。多层结构由接入层、核心层、分布层组成,在网络系统中,运用多层结构能够简化网络运行,提高网络通信的可靠性,下面分别了解一下这三层结构。①接入层。接入层为网络提供了宽带,给用户提供了接入端口,是被允许接入网络系统的起点,它能够对网络流量进行有效控制。在网络系统中,接入层具有成本低、功能强等特点,对实现网络结构的安全性来说尤为重要。②核心层。核心层是网络结构中最重要的一部分,它不仅能够对网络进行划分,使不同的交换区块能够进行连接,还能为交换区块提供数据包,迅速的完成数据交换工作。需要注意的是:在网络应用中,核心层在对网络进行划分时,不能够对列表进行控制,也不能够顾虑数据包。③分布层。在网络中,分布层是用来计算接入层与核心层界点的,它既能划分核心层,也能提供相应的数据处理。在网络系统中,分布层的功能较多,它不仅能够确定网络中心联网,还能够实现工作组接入网络中。

(3)加强设备的可靠性。要提高网络通信的可靠性,一定要保证相关设备的安全性。首先在购买网络设备时,既要确保设备质量能够符合相关要求,又要保证购买的网络设备具有较高的性价比。再就是做好设备的维护工作,在网络系统的运行过程中,要定期对网络设备进行检查或者进行自动检查,以便于提前发现设备故障,并及时给予维修,避免网络系统因设备故障而发生瘫痪现象。

三、结束语

当今时代,信息技术的应用越来越广泛,网络通信的安全性越来越备受关注。在目前的网络通信中存在着一定的安全隐患,它们给人们的生活造成了一定的困扰。为此,需要我们依据网络可靠性设计原则,不断加强相关技术的研究,保证网络拓扑结构的合理性,做好设备维护工作,进一步提高网络通信的可靠性。

参 考 文 献

[1] 李崇东,李德梅. 网络可靠性研究综述[J]. 科技信息,2009

篇3

[关键词] 局域网 网络维护

引言

局域网的定义 从直观来说,网络就是相互连接的独立自主的计算机的集合,计算机通过网线、同轴电缆、光纤或无线的方式连接起来,使资源得以共享,每台计算机是独立自主的,相互之间没有从属关系。 按地理位置分类,我们将计算机网络分为局域网(LAN)、城域网(MAN)和广域网(WAN)。网络覆盖的地理范围是网络分类的一个非常重要的度量参数,因为不同规模的网络将采用不同的技术。所谓的局域网(Local Area Network,简称LAN),是指范围在几十米到几千米内办公楼群或校园内的计算机相互连接所构成的计算机网络。一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看,计算机局域网被广泛应用于校园、工厂及企事业单位的个人计算机或工作站的组网方面。

一、局域网的特点及其拓展结构

1局域网是一个通信网络,它仅提供通信功能。局域网包含了物理层和数据链路层的功能,所以连到局域网的数据通信设备必须加上高层协议和网络软件才能组成计算机网络。 局域网连接的是数据通信设备,包括PC、工作站、服务器等大、中小型计算机,终端设备和各种计算机设备。由于局域网传输距离有限,网络覆盖的范围小,因而具有以下主要特点:局域网覆盖的地理范围计较小;数据传输率高(可到10000Mbps);传输延时小;误码率低;价格便宜;一般是某一单位组织所拥有

2按拓扑结构分类 网络的拓扑结构是指网络中通信线路和站点(计算机或设备)的相互连接的几何形式。按照拓扑结构的不同,常见的计算机网络拓扑结构有:总线型拓扑结构、星型拓扑结构、环型拓扑结构等。

①总线型拓扑结构 总线型结构是指各工作站和服务器均连接在一条总线上,各工作站地位平等,无中心节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。各节点在接收信息时都进行地址检查,看是否与自己的工作站地址相符,相符则接收网上的信息。

②星型拓扑结构 星型结构是指各工作站以星型方式连接成网。网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。

③环型拓扑结构 环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,这种结构使公共传输电缆组成环型连接,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。信号通过每台计算机,计算机的作用就像一个中继器,增强该信号,并将该信号发到下一个计算机上。

二、局域网中ping 的测试

在网络的维护过程中,Ping是一款使用最频繁的工具命令,它内置于Windows系统的TCP/IP协议中,无需单独安装Ping命令功能强大,通过它可以检测网络之间的连通性,或检测网络传输的不稳定性。利用ping测试局域网连接 在局域网内,计算机之间的相互连接联通情况可通过ping局域网内其它计算机或服务器计算机名或IP地址便可测试同一网络(或VLAN)的连接是否正常。具体有如下情形: 1检测IP地址和子网掩码设置是否正确 通过ping局域网内的计算机名或IP地址,如果没有ping通,应着手检查本机的IP地址和子网掩码的设置是否正确,检查IP地址是否设置为同一网段内的IP地址,子网掩码设置合理、相一致。2检测网络连接是否正确 如果局域网内计算机的IP地址和子网掩码设置正确,利用ping命令ping局域内的计算机名或IP地址仍不能成功,应着手对局域内的网络设备如交换机或Hub和通信传输介质―网线、接头等逐段检查、测试和排除。

三、计算机局域网中病的的防范

防御计算机病毒应该从两个方面着手,首先应该加强内部网络管理人员以及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下。

1.设置权限及口令,很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应注意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。

2.软件的安装采用集中管理 在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其他安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。

3.实时杀毒,多层防御 当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,LAN服务器,服务器上的网关,Internet层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。 计算机网络是一个开放的系统,它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒,一旦上网仍会被病毒感染,它是不能在网络上彻底有效地查杀病毒,确保系统安全的。所以网络防毒一定要从网络系统和角度重新设计防毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。

四、局域网未来发展趋势

未来的局域网将集成包括一整套服务器程序、客户程序、防火墙、开发工具、升级工具等,给学校、企业等局域网转移提供一个全面解决方案。局域网将进一步加强和E-mail、群件的结合,将Web技术带入E-mail和群件,从信息为主的应用转向信息交流与协作。局域网将提供一个日益牢固的安全防卫、保障体系,局域网也是一个开放的信息平台,可以随时集成新的应用。

五、结束语

总之,局域网计算机系统和网络的安全工作不是一朝一夕的工作,而是一项长期的工作,同时要加大投入引进先进技术,建立严密的安全防范体系,并在制度上确保该体系功能的实现。

参考文献:

篇4

关键词:ARP欺骗攻击;网络安全意识;问题情境;职业素质

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0100-03

Abstract: This paper aims to integrate the network safety consciousness, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power, to stimulate students' enthusiasm and initiative, and guide students to find, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately, the "student oriented, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.

Key words: ARP spoofing;network safety consciousness; problem situation; professional quality

1 引言

2014年来,中央网络安全和信息化领导小组组长多次提出了“没有网络安全就没有国家安全”以及“建设网络强国”的重要论断。2015年政府工作报告提出的“互联网+行动计划” 体现出信息化对网络发展巨大推动作用和以网络为载体的数据驱动巨大魅力的同时,也呼唤着人们通过网络的进一步发展来不断提升网络安全的能力和意识。两届国家网络安全宣传周活动的开展也为加强全民网络安全宣传教育、提升网民的网络安全防范意识和技能提供了良好的途径。

网络安全上升到国家战略层面,各类网络攻击和窃取事件的频发驱动信息安全需求急剧增加,目前网络安全普遍存在的问题是信息安全意识不强、缺乏整体安全方案、没有安全管理机制、系统本身不安全以及缺少必要的安全专才。

网络安全意识比技术更重要。作为培养网络专业技能人才的一线高校教师,在平常实验教学中除了借助各种安全设备和环境完成实训内容外,更重要的是提升学生的安全意识和处理安全事故的能力,在提高专业技能水平的同时培养学生的职业素质,因此设计好网络安全实验课程显得尤为重要。本文以ARP欺骗攻击与防范实验教学为例,探索在真实网络安全情境下,新型安全课程实验教学模式的改革以及教学效果。

2 ARP欺骗攻击原理

ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。工作过程简述如下:1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。2)主机或者网络设备接收到ARP请求后,会进行应答。同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点:伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致;伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。目前主要的ARP攻击方式有如下几类:仿冒网关攻击、仿冒用户攻击(欺骗网关或者其他主机)、泛洪攻击。

3 问题情境设计

教学情境是课堂教学的基本要素,有价值的教学情境一定是内含问题的情境,它能有效地引发学生的思考。问题情境的创设,对于学生学习兴趣的激发起着决定作用。因此,如何设计具有一定情绪色彩的、以形象为主体的生动具体的场景,以激发学生一定的情感,就成为教学之初需要考虑的问题。

在一个没有防御的园区网中爆发的ARP病毒会造成网络丢包、不能访问网关、IP地址冲突等问题,实验室所有主机分配的是同一网段IP地址,接入交换机,预先在教师机上开启Sniffer嗅探者软件,运行数据包发生器,修改后的ARP广播报文会持续被发送到当前局域网中,为学生建立一个真实园区网面临的问题情境,接下来引导学生按照“发现问题-分析问题-解决问题”的顺序完成实验内容,提升自己的安全意识和实践能力。

4 实施过程

4.1 实验环境

实验室所有主机处于同一网段,类似如下所示的拓扑图环境:

4.2 问题情境的构造

教师机IP地址为172.16.75.105,在本实验中充当攻击者身份。首先构造用于攻击的ARP欺骗报文,在Sniffer软件上定义好过滤器后,开始捕获报文,首先将教师机的ARP缓存清空,尝试PING网关,停止捕获并显示结果如下图所示,

发送当前的帧之前做如下修改:(1)更改源IP地址为网关IP地址;(2)更改源MAC地址为伪造的MAC 地址11-22-33-44-55-66;(3)更改目的IP地址为任一同网段主机IP地址;(4)更改目的MAC地址为全F值。设置为连续不断地发送帧,启动数据帧发生器,此时当前网段会充斥着此类ARP广播报文。

4.3 问题情境的呈现

以4-5人为一组,以真实的网络管理员遇到的企业局域网故障为案例,向学生说明经常受到的网络攻击来自于网络内部,表现为访问互联网时断时续,打开网页或下载文件的速度明显变慢,甚至无法访问公司的Web服务器等资源,严重影响了企业办公业务的正常运行,公司领导对此很不满意,要求立刻彻底解决问题。要求在实验报告上完成每步测试内容并填写检查结果。此环节注重引入职业教育理念,既要注重技能锻炼,又要注意素质培养。立足本职岗位,敢于承担责任,从工作中发现问题是什么,为什么到怎么做,同时培养学生的团队意识。

4.4发现问题

此环节旨在让学生运用已掌握的网络维护技能发现当前局域网存在的问题,通过观察学生在测试环节中采用的方法,可以了解到学生能否快速有效地定位网络中的故障,在不投入新的设备情况下解决问题。

通过观察,多数学生会按照如下测试步骤检测网络状况:1)检查本机网络连接情况及IP地址是否有效;2)检查与同一网段内其余主机连接情况;3)检查与网关连接情况;4)检查与DNS服务器连接情况;5)检查与Web服务器连接情况。这一过程旨在帮助学生基于收集到的测试数据判断问题症结点的能力,只有在充分调查研究的基础上具体问题具体分析,才能把存在的问题症结点找准、找实、找透,才能开对方子,做到对症下药。

4.5分析问题

根据课堂反映来看,绝大多数学生在实施到第3步时发现PING网关IP地址不通,并且重启机器后症状依旧,没过多久又会产生丢包现象。不少学生通过使用ARP -a命令发现学习到的网关MAC地址是伪造的11-22-33-44-55-66,进而判断出问题在于网关MAC地址被篡改,通过使用Sniffer软件,可以嗅探到局域网内充斥着大量的ARP报文,并且通过抓包分析,发现源IP地址为172.16.75.254的网关的MAC地址为11-22-33-44-55-66。此时需要引导学生去思考两个问题:一是为什么主机会无条件更新,二是如何防范此类错误。结合课本上提到的TCP/IP协议栈的脆弱性,部分同学会得出主机并不对收到的ARP报文进行检查,从而导致PC主机更新本机ARP缓存里的网关MAC地址的结论。

这个分析问题的过程注重培养学生遇到问题的应变能力,这种能力的训练对于今后可能从事的网络运维岗位而言,是非常有必要的。

4.6 解决问题

明白了问题的原因,如何解决问题就是一个水到渠成的过程。通过几分钟分组讨论的形式,最后总结了几组的意见,归纳出两种解决思路:一是主机对于收到的ARP伪造报文不进行更新操作,二是限制此类ARP广播报文在局域网内的泛洪。此时,结合实训指导书内容,教师提出两种解决方案让学生选择,一是在局域网内各台主机上静态绑定正确的网关MAC地址,这样即使主机收到了虚假MAC地址也不予以更新;二是在交换机各端口上设置单位时间内允许通过的ARP报文数量的阈值,超过阈值则关闭端口。同时让学生分组讨论,对这两种方案的优缺点进行比较,最终得出如下的结论,方案一因为要在局域网内每台主机上配置命令,工作量较大,网关MAC地址一旦改变又得重新配置,而且治标不治本,不能有效遏制网段内ARP报文造成的广播风暴,网络传输性能较低;方案二只需在交换机端口上进行配置,与网关MAC地址无关,如果再在端口上划分好VLAN,将会进一步限制广播报文的传输范围。

4.7 实验总结

总结既是自己对于实验的理解归纳,也是对整个实验过程的回放,既要总结有所收获的地方,也要归纳出不足之处。通过将实验全过程中涉及现象、情境及步骤列成问题清单,让每位学生都能从实验中总结出得与失。最后借鉴翻转课堂的思想,邀请一位学生就实验目的、方法、步骤进行口头陈述,由其余学生进行补充,从而获得更深层次的理解。

5 结语

通过网络安全实验课程的教学尝试,以及学生的反映来看,收到了一定成效。总结起来达到了三个目的,一是探索网络安全意识、网络安全技能并重的新型网络安全实验教学方法,二是引导学生进入实际问题情境中,深入角色,积极主动地去发现、分析及解决问题,三是将个人责任感、团队合作等职业化素质理念融入到教学过程当中,培养主人公意识。在教学过程中需要注意对于课堂进度以及时间的把握,如学生遇到难点应及时进行引导,推动进程。

参考文献:

[1] 迟恩宇,刘天飞,杨建毅,王东.网络安全与防护[M].电子工业出版社,2009.

[2] 叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报: 自然科学版,2007(3):59-61.

[3] 秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009(1):30-33.

[4] 孟令健.计算机网络安全ARP攻击行为的防范研究[J].齐齐哈尔大学学报: 自然科学版,2013(3):9-11.

[5] 郭会茹,杨斌,牛立全.ARP攻击原理分析及其安全防范措施[J].网络安全技术与应用,2015(6):5-6.

[6] 刘名卓,赵娜.网络教学设计样式的研究与实践[J].远程教育杂志,2013(3):79-86.

篇5

关键词:计算机;网络安全;核心技术;网络架构;网络系统

一、计算机安全局域网的组建方案

目前,从整体结构来看,计算机安全局域网主要是由以下重要部件组合而成:第一,集线器。集线器起到了联结众多网络设备的作用,也是计算机安全局域网连接设备的总合,能够对众多网络设备进行统一管理,使之形成完善的网络架构体系。第二,网络节点。网络节点和集线器关系密切,均用于连接整个安全网络,可以说集线器能够将众多节点相连接,即运用WAN和LAN联结各网络节点,以此确保网络系统的正常运转[1]。其次,网络节点与集线器决定着网络电缆的类型,对PC机的安装数量以及远程管理效果也有重要影响。第三,物理拓扑结构。在整个计算机安全局域网构建过程中,物理拓扑结构和各行业内部计算机的总数以及布局结构关系密切。从微观视角来区分,物理拓扑结构主要分为总线拓扑结构和星型拓扑结构。相比而言,如果网络用户人数相对较少,就可以使用总线拓扑结构。反之,如果网络用户人数众多,就要选用星型拓扑结构。此外,这两种结构各具优势,总线拓扑结构能够对网络电缆的中端进行有效优化,星型拓扑结构可以实现整合网络结构的科学分化,如果某区域网络瘫痪,星型拓扑结构不会导致整体网络系统受损。目前,中国网络用户人数众多,选择星型拓扑结构更适宜。第四,网络电缆。构建安全局域网架构体系,必须精选网络电缆,营造良好的电缆运行环境。当前最常用的网络电缆有光缆和铜缆,相比而言,光缆效果更佳[12]。第五,网络协议。确保计算机局域网的安全,必须加强网络协议管理。目前,有三种网络协议形式,即IPX/SPX、NetBEul和TCP/IP,对于计算机安全局域网来讲,选用TCP/IP协议效果最佳。

二、计算机网络安全技术核心

(一)健全网络管理制度

做好计算机网络安全维护管理工作,首先要结合信息时展目标与时代特征,构建完善的网络管理制度,营造文明、绿色、安全的网络环境,制定网络用户管理规则,禁止利用网络散布不良信息或者传播病毒。其次,必须细化网络安全建设策略,做好三步工作:第一,实现多网的安全统筹与协同关系。该策略主要是确保5G和4G以及WLAN室等内外网络结构的安全与协同,满足多种不同场景的实用业务需求,推动网络服务的平滑升级,确保网络系统能够安全运行。第二,促进目标网与安全性技术的有机结合。完善安全网络基架构,组建理想化目标网络,必须做好安全性技术的分析工作,即在确保技术质量的前提下兼顾技术成本,打造独特的竞争优势,使目标网与安全性技术达到完美结合。第三,精确选址,充分利用现有的网络资源。做好安全网络传输承载接入光缆网的基本建设,必须充分利用本光缆网现有的网络资源,根据综合业务需求,精心选址,以此实现网络资源的高效共享。与此同时,应充分发挥当前宽带接入局所的作用,做好4GBBU、5GDU/CU和OLT等各项接入层网络设备的安全部署工作,组建全能业务型接入局所。同时,应根据5GRAN的光缆组建目标和光宽接入,科学运用当前所有的接入光缆网络资源,做好统筹规划工作,在确保网络安全建设质量的基础上降低支出成本[3]。

(二)定期维护数据库

计算机管理人员应该对局域网的数据库进行定期维护,通过升级防毒软件和查杀病毒来确保网络系统的安全质量。与此同时,要加强对网络运行流程的管理,以此实现计算机局域网的安全运行。此外,计算机管理人员应全面做好Windows注册表维护管理工作,依次细化三大环节:第一,对注册表进行备份,恢复重要信息,禁止非法访问与恶意篡改;第二,发挥注册表的特殊保护作用,隐藏网上邻居与驱动器图表,净化电脑桌面;第三,优化Windows安装路径,避免安装系统出现故障,确保计算机局域网的正常运转[4]。

(三)改善计算机网络系统

计算机管理人员应注意科学运用虚拟光驱技术模拟网络光盘,降低光盘损耗,运用虚拟光驱取代传统物理光驱,从而有效改善计算机网络光驱系统,延长计算机使用寿命。其次,计算机管理人员应不断改善代理服务器技术,组建安全的虚拟网络与ISDN或者ASDL专线,从而有效提高计算机局域网安全服务质量。另外,计算机管理人员应该从优化计算机网络安全预警、安全保护、安全检测、安全相应和安全恢复等五个方面入手构建完善的计算机主动防御体系,以此控制外面因素对计算机网络系统的负面影响,确保局域网的安全运行。

篇6

【关键词】实施网络;安全态势;预测

1网络安全态势安全预测简述

1.1网络安全态势预测概念

网络安全态势预测作为一种预测网络安全问题的方法能够有效地保证计算机和网络的安全,通过这项工作能够帮助用户确定网络中人存在的问题,结合问题实质进一步分析出根本原因,然后在这个过程中找出能够反映网络安全问题的信息内容,在结合数学模型的形式下预测相关的网络安全问题和发展态势,为计算机网络安全的发展提供可参考的信息,保证网络环境的安全发展。支持向量机预测主要是借助非线性映射函数[?]进而将非线性向量xi映射到一个具有较高维度的映射空间H中,并在H内对相关数据进行预测和分析,预测函数表示为f(x)=[ωT][?](x)+b,式中,为支持向量机超出平面的权值,偏置量为b,由此将支持向量的预测转化为如下优化问题的求解,即[min]([ω],b,[ξi],[ξ?i])=[12][ωT][ω]+c[i=1n(ξi+ξ?i)],将约束条件设定为:①yi-[ω]xi-b≤[ε]+[ξi],②[ω]xi+b-yi≤[ε]+[ξ?i],③[ξi]≥0,≥0。

1.2网络安全态势预测的基本原理

如果需要分析的目标过大或者结构比较繁琐的情况下,就要通过“态势”来分析目标对象。态势这个词最开始是形容军事状况的,一般在军事环境较为复杂或者受到多方面影响的时候会预测其后续的发展状况。但是在信息网络发展环境下,想要构建安全可靠的网络环境就要引入网络态势体系这一概念,由此进一步掌握目前网络安全的整体情况。整体说来就是在研究网络安全事件出现的概率、频率和数量等方面研究这些因素对网络的威胁程度,进一步结合加权原理融合不同的网络安全信息,展示整体的运行状况,总结出目前网络安全运行的历史数据同时预测其今后的安全发展态势。

2实时网络安全态势预测模型的构建

2.1基于支持向量机算法的网络安全态势预测模型

我们可以设定目前网络安全态势的训练样本是{(x1,y1)(x2,y2)...(xn,yn)},不同的两项代表的是网络态势的输出向量和输出值,值得注意的是xn是一个时间序列,n为所训练样本的个数。

2.2基于支持向量机算法的网络安全态势预测过程

第一要进行数据的收集和与处理,首先我们要掌握并收集能够展示网络安全态势预测的数据,重点研究出现异常的数据,我们要注意这些数据当中受到不同因素影响而产生的不同差异;第二要通过嵌入维和时间延迟的方法实现多维网络环境的安全态势数据的转化,要强化数据的分析和转化;第三要完成分组,也就是把网络安全态势的所有数据进行整理,分成训练和测试两部分,将前面的数据输入到支持向量机种展开学习,结合遗传算法选择参数优化,将所得到的最优参数带入到所研究模型中,实现网络安全态势模型的构建;最后一点就是要结合之前总结的最优模型,测试内部数据,根据所得结果预测数据展开分析并转化,使预测值有效分布在各个区间,实现其整体网络安全态势预测的顺利完成。

3实例分析

3.1选取网络安全态势数据

选择某公司互联网在在2016年10月1日-10月30日的边界安全监测数据,固定每日抽取四次样本,在一个月的时间内分析其网络安全态势检测数值。人为确定前90次的测试值作为支持向量机的训练样本,之后的测试值作为支持样本,同时要保证这个实验要在matlab7.0平台上进行。

3.2实现最优模型

将这个公司的网络安全态势数据传输的延迟时间设定为固定数值,在这里面我们暂且将它设成1,另外可以在态势数据中嵌入8这个数字作为维数,在这个时候,支持向量机拥有7个输入变量和1个输入变量。结合固定时间和嵌入数值分析网络安全状况形成最终样本,根据前面的步骤将训练和测试样本输入到向量机种展开分析,进一步优化计算,同时结合相对应的计算形式确定最终数值。

3.3利用模型进行网络安全态势的预测

根据上一条内容可以得出网络安全态势的最优参数,将这个参数带入到所预测的模型当中,就能够形成最优网络安全态势预测模型。这一模型能够有效地分析相关的安全态势数值,能够展现出安全态势的所有变化,从而分析出公司的安全检测数据状况,提高预测数据的准确度。

4结论

本文主要研究在网络安全态势预测的概念和原理的同时,提出了基于支持向量机的实时网络安全态势预测模型,同时从模型的构建、应用和优化预测等方面展开分析。由此可知,今后在这方面研究的力度要有所加强,只有这样才能有效地维护网络安全,构建良好的网络环境和秩序。

作者:张晓晓 庞婷 单位:新乡医学院现代教育技术中心

【参考文献】

[1]陈凤兰.基于小世界回声状态网络的网络安全态势预测技术研究[D].兰州:兰州大学,2014.

[2]石波,谢小权.基于D-S证据理论的网络安全态势预测方法研究[J].计算机工程与设计,2013,3(12):821-825.

[3]曾斌,钟萍.网络安全态势预测方法的仿真研究[J].计算机仿真,2012,5(25):170-173.

篇7

论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。

1引言

进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。

在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。

2船舶计算机网络架构

目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。

有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。

图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。

3船舶计算机网络系统的安全问题

2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。

根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。

为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。

若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。

4船舶计算机网络系统的安全需求分析

为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。

研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。

在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。

(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;

(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;

(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;

(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。

5船舶计算机网络系统安全管理要求

5.1确定船舶网络系统安全管理目标

基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:

通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。

通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:

(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;

(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;

(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;

(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;

(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。

5.2网络系统安全配置原则

船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。

需求、风险、代价平衡的原则

对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。

综合性、整体性、系统性原则

船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。

易于操作、管理和维护性原则

在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。

可扩展性、适应性及灵活性原则

船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。

标准化、分步实施、保护投资原则

依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。

5.3网络安全管理的演进过程

建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。

船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。

6建立健全船舶计算机网络安全管理制度

针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:

制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;

对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;

对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;

形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;

由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

7 总结

对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:

1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。

2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。

3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。

4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。

参考文献:

篇8

网络入侵检测技术又叫做网络实时监控技术,主要是针对网络中的一些数据流信息做出相关的分析和检查,之后将其与系统中所存储记录的相关的入侵行为的一些信息做出具体的比较,从而就可以根据相关数据做出判断是否存在着入侵行为,当所比较的内容同入侵的行为表现出一致的特征时,就应当做出一定的反应,类似向防火墙做出通知,使其将数据信息做出阻止,同时将其丢弃,还要使得防火墙对相关的访问控制权限做出一定的调整,最大程度上保证网络的安全性能。网络入侵检测技术能够对网络中的一些实时攻击做出检测,从而在计算机在遭受非法攻击之前就进行阻拦操作,使得计算机网络在最大程度上避免受到攻击,无论是外部还是内部,亦或错误操作,总之,网络入侵检测技术是保证计算机网络安全非常重要的一个方面,从而更好地发挥作用。

2、计算机网络安全管理维护方法

2.1网络安全管理:计算机网络安全是有一定的脆弱性的,这一特性产生的原因是由计算机网络系统的特点决定的,所以计算机网络安全管理维护办法对于计算机网络而言意义重大,为了从最大程度上保障计算机网络资源不被一些非法分子或者是用户无意的非法使用,为了保障计算机网络安全系统本身不轻易的被未经授权的进行访问,为了保障计算机网络安全管理相关信息的安全性、可靠性、机密性等,计算机网络安全管理就必须对计算机安全性加大重视力度,从而使得计算机网络技术更好地为我们提供服务。

2.2网络计费管理:网络计费管理可谓非常重要的安全管理维护手段之余,通常应用其记录网络资源的使用情况,其最终的目的是实现对于网络操作费用和代价的控制、监测,这一方法主要针对的是公共商业网络。网络计费管理能够将用户所使用的网络资源需要花费的费用和代价做出计算,同时还可对其所使用的资源做出记录,这一管理维护方法可以限制用户的最大消耗费用,这就对于用户过多占用网络资源做出一定程度的控制,同时对于网络的使用效率来说,也起到了一定的提高作用。除此之外,网络计费管理还可以将总计费用做出计算。

2.3网络故障管理和维护:故障管理可以说是计算机网络安全管理维护的最基本的操作之一。所有计算机网络用户都会希望有一个健康稳定可靠地计算机网络,当计算机网络中的某一个组成部分发生故障时,网络管理器应当在第一时间将这一问题解决掉,这种发生故障的情况,管理者应当首先将网络修复,使其处在维护状态,继而在分析网络故障发生的原因,做出相应的故障管理和维护工作,通常分析故障并对其进行维护的操作包括三个方面,分别是故障检测、隔离操作以及纠正,最终使其正常的运转,为广大计算机网络用户带来方便。

3、结语

篇9

关键词:网络;防火墙;互联网

中图分类号:TP393.08文献标识码:A

Construct Network Security Barrier

ZHANG Yu-jun

(Zhang Machinery Industry,Hebei Zhangjiakou 075000)

key words: Network;firewall;Internet

1 网络安全概述

随着计算机技术的迅速发展,针对网络系统连接的安全问题也日益突出,网络安全主要表现在以下几个方面:网络物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。

1.1物理安全分析

网络的物理安全是整个网络系统安全的前提。在校园网建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;须建设防雷系统,防雷系统不仅考虑建筑物防雷,还须考虑计算机及其他弱电耐压设备的防雷。要尽量避免网络的物理安全风险。

1.2网络结构的安全分析

网络拓扑结构设计直接影响到网络系统的安全。我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机。

1.3系统的安全分析

系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证及操作权限的确认,确保用户的合法性;并将其完成的操作限制在最小的范围内。

1.4应用系统的安全分析

应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。

1.5管理的安全风险分析

管理是网络中安全最重要的部分。安全管理制度不健全或缺乏可操作性等都可能引起管理安全的风险。当出现攻击行为或网络受到其它安全威胁时,无法进行实时的检测、监控、报告与预警。同时,事故发生后,也无法提供黑客攻击行为的追踪线索,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

因此,最可行的做法是制定健全的管理制度和严格管理相结合。

2 防火墙

防火墙技术是最先受到人们重视的网络安全技术,那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

2.1防火墙的选择最重要的是以下几条:

2.1.1总拥有成本。防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。

2.1.2防火墙本身是安全的。其一是防火墙本身的设计是否合理,用户根只有通过权威认证机构的全面测试才能确定。其二防火墙的许多配置需要系统管理员手工修改,系统管理员对防火墙必须十分熟悉,

2.1.3管理与培训

管理和培训是评价一个防火墙好坏的重要方面。在计算防火墙的成本时必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

2.1.4可扩充性

随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。

2.1.5防火墙的安全性

用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

2.2加密技术

信息交换加密技术分为两类:即对称加密和非对称加密。合理使用对称加密技术、非对称加密还有.RSA算法,可以提高网络的更高的安全系数。

2.3PKI技术

PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

2.4安全技术的研究现状和动向

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。

总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在 一起,才能生成一个高效、通用、安全的网络系统。

参考文献:

[1]南湘浩.网络安全技术概论[M].北京:国防工业出版社.

篇10

论文关键词:金融信息系统;灾备中心;网络;生产中心;安全

0、引言

随着我国金融体制改革的不断深入和金融业的快速发展以及全球经济一体化进程的加快.我国商业银行逐步完成数据集中与新一代综合业务系统的推广.业务自动化处理程度与管理水平进一步提高。从长远发展以及确保其安全、连续、稳定运行等方面考虑.建设金融信息系统灾备中心以保证数据安全和业务连续性是非常必要的.有利于各银行增强抵御金融风险能力、提高金融服务水平、增强国际竞争力。而建设先进、可靠、稳定的网络是业务系统运行的基础,也是为系统提供必要的安全保障。

本文从工程建设的角度.并结合在金融信息系统灾备中心网络运行维护的实际经验,对数据集中程度高、分支机构多的金融单位灾难备份中心网络建设提出了一套切实可行的技术方案。

1、建设目标

金融信息系统灾备中心网络建设目标是构建能够适应金融业务和应用发展要求的高可靠、高性能、可灵活扩展、安全可控的网络公用基础设施。灾备中心网络的服务模型如图1所示。

灾备中心网络建成后。作为系统的备用网络节点,可为业务系统在以灾备中心为辅的运行提供通信服务.同时还应具备与生产中心、灾备中心共同为业务系统的连续性提供保障的能力。

灾备中心网络结构能够满足接替生产中心运行的网络需要.且具备灾难备份保障功能.建设生产中心和灾备中心之间互连的高速数据通道,可用于备份数据的传输,辅以网络切换功能,保障业务运行的连续性.提高整个系统的可用性。

构建面向应用和系统的服务网络.为金融信息系统中的各应用系统提供统一的基础网络服务平台。

根据业务类型、功能要求、安全等级等因素。进行安全域、功能化、层次化和模块化分区,从而构建出满足业务系统要求、且具有一定先进性的数据中心。

构建完善的灾备中心网络安全体系:利用主动防御与被动防范相结合的安全技术。形成从网络边界、内部网络到系统的多层面的整体纵深防御体系,具备信息加密、入侵检测与防范、病毒防护、访问控制、身份认证和安全审计等功能。

部署统一集中的网络管理中心和安全管理中心.能对整个金融信息系统网络和安全状况进行统一的管理和监控。

2、设计原则

(1)高可用性

统一的、标准化的网络架构;结构化、模块化的设计方式:通过高可靠的网络部署(包括链路和设备的冗余,尽量避免单点故障)以提高网络的可用性;采取功能、对象、风险、控制的层次性划分,降低网络故障的影响区域,提高整体网络可用性;选用成熟稳定的网络设备和网络技术。

(2)高安全性

灾备中心系统结构设计必须根据不同应用系统特点和业务数据敏感度实施不同的安全防护措施.确保数据中心各类业务系统的信息安全。

遵循中国人民银行安全规范:制定和实施贯穿整个灾备中心网络的统一安全策略:具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力:网络基础设施自身具备安全防护能力。

(3)高灵活性、高可扩展性

近年来。我国金融信息系统的建设呈现出”数量越来越多、规模越来越大、系统结构越来越复杂、数据安全性要求越来越高、运行责任越来越重大”的特点。因此。灾备中心网络的总体结构设计要具有灵活的扩展性.既要满足今后新系统上线运行的要求。也要满足每个业务系统处理能力的扩展性的要求。

具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求;具备适应上层应用模式变化的能力,既满足现有的应用模式.又能满足多层次的应用模式对网络服务和网络结构的要求;能适应安全策略的变化,可灵活划分安全等级,部署安全措施;符合世界技术发展趋势,能向未来可能采用的技术架构平稳过渡。

(4)便于运行维护和管理

强大的网络管理平台;提供带外管理网络支持,特别为紧急情况下提供增强的管理渠道;相对统一的设备类型和型号;充足完备的网络分析工具;充分考虑灾备中心运维管理流程的需要。

(5)先进性

采用先进的高性能网络产品和相关技术.以满足灾备中心未来5年业务快速发展的需求。

3、解决方案

(1)网络体系结构

根据灾备中心不同的服务功能.灾备中心网络在功能上分为核心交换区、生产区、管理区、mis服务区、内联接人区、外联接人区、开发,测试区和internet接人区等区域。灾备中心网络体系结构如图2所示。

(2)灾备中心网络逻辑结构

灾备中心网络的逻辑层次有三层:核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发:分布层的主要功能是为接人层提供网络服务:接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。

各个层次的功能是:

核心层是灾备中心内部高速的三层交换骨干.该层不进行终端系统的连接.不实施影响高速交换性能的安全访问控制策略。

分布层作为接入层和核心层的分界层.该层完成的功能包括:区内vlan问的路由;区内i王’地址或路由区域的汇聚:实施安全访问控制策略。

接人层提供layer2的网络接入.通过vlan定义实现接入的隔离。该层具有的主要特点是:根据实际使用情况规划接入端口容量。并具有一定的扩展性;不同功能分区的接人层相对独立;不同类型的接人层应各自分开,连接到对应功能区的分布层:为实施qos。对数据包进行分类和标记。

各层之间的连接:

上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。

在相邻层次之间.同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。

网络扩展时.核心层和分布层的架构保持不变,接入层可以随接人需要扩展。

物理实现时.分布层和接人层设备可以合并。

(3)灾备中心信息安全体系设计

灾备中心信息安全体系的建设目标是以信息安全标准为依据.建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台.具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。

为达到信息安全建设的总体目标.灾备中心信息安全体系分为七个方面:信息系统安全技术和安全服务;基于安全域的纵深防御体系;安全管理体系;安全法规;信息安全技术保障;信息安全策略和审计:信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。

第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法.以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。

第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念.从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。

第三个层面为安全管理。在这个层面上要认真树立信息安全理论中”三分技术。七分管理”科学管理理念,建立符合灾备中心实际的协调、高效、可行的管理制度。把人员管理放在首位。加强以人员教育为主要手段的社会工程学管理。巩固信息安全。同时制定风险管理、安全评估、应急响应和灾难恢复等相关制度。

第四个层面为安全法规和制度。在这个层面上要以国家的有关信息安全的法律、法规、标准为依据.指导灾备中心的信息安全建设.同时落实中国人民银行关于信息安全建设的相关要求。在这个层面还体现了各级领导、信息安全管理部门在信息安全建设中的主导地位和重要作用。信息安全建设要依靠标准、法规、制度,政策,依靠领导关心、指导、协调,依靠所有部门齐心协力、齐抓共管.依靠全体员工同心同德。群策群力才能确保成效。

以上四个层面由低到高描述了信息安全建设的基本思路。

除了四个层面的内容外.信息安全保障、信息安全策略和审计起到支撑作用,保障信息系统建设和稳定运行。信息安全保障主要从技术、人员、工程、管理的角度建立有效的信息安全保障技术和保障制度。依靠准则和标准建设灾备中心的信息系统工程:依靠人员借助技术手段对灾备中心庞大、复杂的信息系统进行操作、运行和维护。为灾备中心的信息安全系统以及各个业务系统提供强有力的技术支持:依靠制度和技术手段对信息安全事件进行有效地发现、分析和处理。信息安全策略和审计主要起到统一规划。加强审计、监督的作用。利用审计手段明确责任,定位责任.巩固信息安全建设。在信息安全的建设和规划中落实”职责分离.最小授权”的信息安全原则。

最终.确保灾备中心整个信息系统的安全、稳定、高效的运行。实现信息安全建设的目标。

4可行性分析

方案分析主要包括网络可靠性分析、网络安全性分析和网络扩展性分析等方面

(1)网络可靠性分析

灾备中心网络的可靠性应能满足业务稳定运行的要求.具体分析如下:

线路的可靠性

灾备中心网络的线路主要包括:灾备中心网络内部连接;灾备中心网络的内联和外联接口等。其中:灾备中心网络由局域网交换机构成.基本上功能相似的一个或一组交换机均与骨干交换机保持2个连接.避免线路的单点故障。内联区提供的广域网接口.针对每个分支行提供2条不同电信运营商的电路.外联接口同样为外联机构提供2条不同电信运营商提供的电路。如采用光纤接入方式的atm电路,每条atm电路的可用率为99.9%.因此总体广域网线路的可用率大于99.96%。

网络设备的可靠性

灾备中心网络设备采用中高档设备.关键设备不仅配置冗余电源,还配有冗余的处理模块、冗余的总线等。设备自身具有很高的可靠性。同时,对生产区等关键区域,还采取l:1热备份,进一步提高了整个网络的可靠性.应完全能够满足业务系统对可靠性的要求。

(2)网络安全性分析

为保障灾备中心业务系统的安全.采取了多种网络安全措施。部署了多种网络安全产品。采取了相应的网络安全管理技术手段。主要有:在外联区采用防火墙进行安全隔离.对进出灾备中心的访问进行控制。内部各区域之问也部署防火墙.对内部区域问的数据流向和访问进行较有效的控制:每个区域均部署ids、漏洞扫描系统,作为主动防御的技术措施,对系统漏洞、数据和访问进行监控:敏感数据采取加密措施.可防止泄密的产生;建立统一的防病毒系统,尽可能将病毒维护减少到可接受的水平;部署认证系统。对用户权限进行必要的管理:建设网络安全监控和安全分析系统.综合监控和分析各种安全设备产生的日志等信息。可比较全面地对网络安全进行管理;集中的审计系统,以从网络、系统和安全等三个层面。对操作行为进行跟踪和记录。减少违规行为产生的危害。这些安全措施。可建立主动和被动相结合的纵深防御体系.对业务系统的安全运行起到积极的保障作用。

(3)网络扩展性分析

网络扩展性主要体现在:

通信容量的扩展

按照方案的配置。连接各分支行和外联机构的接口。可满足每个分支行及外联机构以2条atm电路接入的要求.平均每条atm电路的速率不低于2mbps,在业务量增加后,如总计业务量不超过155mbps,可逐步扩容pvc带宽满足业务需求。如总计业务量超过155mbps,可根据需要。增加atm接口的数量。

支持业务系统的扩展

灾备中心网络采用了以安全域进行分区、在分区内按系统类型进一步划分子区的设计思想。新的业务系统按其安全等级可部署在相应的安全域(区)内,系统(如前置、服务器等)在连接到子区内.基本上不需要改变数据中心网络的结构。因此在这种思想下设计的数据中心具有较强的业务扩展能力。

5、结束语