网络安全设计方案总结范文

时间:2024-02-21 18:00:45

导语:如何才能写好一篇网络安全设计方案总结,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全设计方案总结

篇1

如果电力系统中缺少严格的验证机制,或者不同业务系统之间缺乏有效的访问控制,可能导致非法用户使用到关键业务系统,引发非法侵入的业务安全风险。

2电力行业计算机应用网络安全结构的内容

基于电力行业所面临的网络安全风险,为保障整个电力系统的安全、稳定运行,必须建立一套符合电力行业自身特点的网络安全结构。而所谓电力行业计算机应用网络的安全结构,即是应用和实施一个基于多层次安全系统的全面网络安全策略,在多个层次上部署相关的安全产品,以实现控制网络和主机存取,降低系统被攻击危险,从而达到安全防护的目的。网络安全结构的内容主要有以下几个方面:2.1网络安全防护结构体系电力行业网络安全防护的基础是网络安全域的划分。根据《电网和电厂计算机监控系统及调度数据网络安全防护规定》的要求,电力系统的网络可划分为四级网。其中,电力调度生产控制与实时监测可作为一、二级网,它与三、四级网络是进行物理隔离的。第三级网为DMIS网,第四级网为MIS网,网络安全防护的重点也是第三、第四级网络。根据整个电力行业计算机应用网络的特点,还可对三、四级网络进行进一步安全域的划分,并划清网络的边界,综合采用路由器、防火墙、入侵监测等技术对三、四级网络进行综合防护。2.2安全防护技术的应用电力行业网络安全防护技术,主要包括了防护墙技术、漏洞扫描技术、入侵检测技术、病毒防治技术等,这些安全防护技术作为网络防护结构的基础组成部分,在统一的安全策略指导下,以保障系统的整体安全。其中,防火墙技术、入侵检测技术和漏洞扫描技术,主要是针对内部信息系统不同安全域进行的安全防护;而病毒防治技术则主要是面对电力系统内的客户端及各种服务器提供安全服务。

3电力行业计算机应用网络安全结构的设计

3.1网络安全结构设计的原则

(1)安全性原则。是指网络安全结构的设计方案,应充分确保电力系统的安全性;所采用的安全技术产品应有着良好的产品质量与可靠性,以充分保证系统的安全。

(2)一致性原则。主要是电力行业网络安全问题应与整个网络的工作周期同时存在,所制定的安全体系结构也必须与网络的安全需求相一致。

(3)易操作性原则。网络安全结构的相关技术措施需要由人为去完成,如果所采用的技术措施过于复杂,对人的要求也过高,这自身就降低了系统的安全性。

(4)分布实施原则。由于电力网络系统随着规模的扩大和应用领域的增加,网络受到攻击的可能性也不断增加,想一劳永逸的解决电力网络安全问题是不现实的,而且网络安全措施的实施也需要相当的费用支出。因此,网络安全结构的建设可采用分布实施的方式,既可满足当前网络对信息安全的需要,也可为今后系统的扩展与完善奠定良好的基础。

3.2网络安全结构具体设计方案的应用

(1)电力系统局域网内部网络安全结构设计整个电力行业计算机应用网络,不仅会受到外部的攻击,也同时会受到内部攻击。内部网络主要是指用于控制电力设备以及采集运行数据的设备层网络系统,如SCADA系统DSC系统等,由于这部分网络需和电力控制设备之间直接进行数据间的交换,任何非法入侵的数据都可能引发电力设备的故障,并可能导致整个电网的安全运行受到影响。为了有效解决内网的安全防护问题,可在电站系统的局域网内部,使用防火墙技术对不同的网段进行隔离,并且采用IPS设备加强对关键应用部位的监控与保护。如图1所示,即为电力系统局域网内部网络安全结构设计。在该设计方案中:

①使用防火墙集群将内部与外部网络隔离,保证电力网络外部的攻击与漏洞扫描等,不会影响到内网数据的正常传输与交流;

②再将内部网络的不同区域进行隔离,使之能具备不同级别的访问权限,以有效保证内网数据的安全性;

③对电站关键部位的安全防护还可采用IPS装置,以保证内部重要数据的可监控性、可审计性以及防止恶意流量的攻击。

(2)省级电力骨干网络安全结构设计省级电力骨干网络的核心中部署有众多的业务,如用电营销、工程管理、办公自动化系统、电力生产信息平台以及GIS系统等,同时还包含了与其它企业及各种服务系统的系统。正是由于各种业务的流量都需由电力骨干网络进行传输和汇集,对网络的安全性与可靠性也有着极高的要求。因此,对于省级电力骨干网络的安全结构设计,可部署2~4点的防火墙集群作为网络系统的省级安全核心,并对系统的多链路情况进行负载均衡,以充分满足省级电力骨干网络对安全防护的要求。省级电力骨干网络的安全结构建设,主要包括了两方面的任务:

①利用防火墙技术对外部接口区域和内部服务器区域进行划分,并综合应用病毒防治技术、漏洞扫描技术等多种安全防护技术,从而实现系统在访问控制、漏洞扫描、病毒防护、入侵检测、集中安全管理以及日志记录等多个环节的安全防护;

②通过安全结构的建设以实现系统多链路情况下的负载均衡,保证系统具有足够的收发速度和响应速度,并能有效避免网络服务的中断。

(3)电力广域网整体网络安全结构设计对于整个电力系统的广域网,为了保证端对端、局对局的安全性,并有效保证整个系统的安全性与可靠性,可对整个电力广域网采用分布式的安全结构设计方案。其安全结构的特点是:

①通过分布式架构,可以使广域网的安全结构真正实现多台防火墙的同时Active技术,有效保证了网络的安全性。

②通过过滤规则设置,可以实现对广域网内部资源对外开放程度的有效控制,尤其是电力公司和Internet公共网络之间的连接可仅开放某特殊段的IP端口,从而有效避免了病毒攻击和非法侵入。

③通过客户端认证规则的应用,可以确保电力广域网不同的内部用户享受到不同的访问外部资源的级别。同时还对内部用户严格区分网段,其自动的反地址欺骗有效杜绝了从外网发起的对于内网的访问,而对于内网发起的对外网的访问则可以不受到限制。

4总结

篇2

关键词:VPN技术;校园网络;安全体系

中图分类号:TP393.08

目前,各大院校都在进行扩招,不同的院校也在逐渐的扩大规模,创建出了校区与校区之间协调发展的形式。按照我国院校的大体布局来分析,大部分的院校会拥有多个校区,并且这些校区可能会分布在不同的地区或者城市,校园的局域网若过于简单,是不能够达成协调管理的。那么VPN技术的应用成为了主流模式。

1 在校园网络安全体系中应用VPN技术的功能模型

1.1 数据转发模块。此模块是网络当中的关键模块,对于数据的加密是利用协商好的加密算法,同时将数据传输完成。

1.2 身份认证模块。客户端认证服务端,是通过数字证书;服务端认证客户端,是通过两种不同的方式,其一是对外网的认证,使用的是密码和用户名的认证,其二是内网的认证,使用的是数字证书的认证模式。

1.3 后台管理模块。此模块主要负责采集日志,是安全审计前提下的操作日志。并且,可以将使用情况和操作行为充分汇总。

1.4 访问控制模块。此模块具体创建了细致的VPN技术访问控制对策,相应的决定了访问的规则。

2 分析VPN技术的需求

2.1 对图书馆资源进行远程访问。校区之间需创建统一形式的认证系统以及图书馆管理系统,达成校区之间的图书馆资源统一认证和联动管理。

2.2 解决院校中多个校区的互相访问问题。达成校区与校区之间的财务专网以及一卡通整合,构成能够连接校区与校区之间的完善网络枢纽,确保网络数据可以通过VPN技术进行快速、安全的传输。

2.3 以远程的形式访问校园网络热点,达成校区与校区之间的邮件服务站点以及web站点的整合,实现校区之间的信息交流、公文流转以及邮件分发。

3 在校园网络安全体系中应用VPN技术的原则

3.1 访问控制。校园网络当中会拥有较多的用户,不同的用户拥有着不同的权限,所以,VPN技术需要创建安全访问的控制体系。

3.2 确保多平台兼容。所谓多平台兼容指的就是,VPN服务作用在校园网络中,可以给予用户实时的安全网络接入服务。同时,可以达成较多操作系统的平台环境兼容。

3.3 安全保障。在校园网络安全体系当中应用VPN技术,最为基本的原则就是能够合理的保障网络安全。将VPN技术应用在校园网络中,一般情况下需要拥有数据保密、数据完整性以及身份认证三个方面的保障体制[1]。

3.4 管理平台的有效性。VPN技术服务器需要给予一定的服务器和客户端配置工具,便于使用操作。还需要提供采集日志的功能,可以安全性审计日志记录。

4 校园网络安全体系当中有效的选择VPN技术的应用方案

4.1 Extranet VPN。Extranet VPN方案能够利用专门的共享连接网络设施,在校园网络中连接外部网,适合用在B2B的安全访问过程中。

4.2 Access VPN。Access VPN方案的选择与远程或者移动办公的要求相符,对于校园内与校园外的远程网络连接能够充分实现。Access VPN具体适合用在现阶段较多的接入方法中,例如:ISDN、移动网络、PPPoE拨号、xDSL等,提供给移动办公用户较为安全的私有连接。

4.3 Intranet VPN。Intranet VPN方案拥有着独特的共享网络设施,此共享网络设施是Intranet VPN方案的坚实基础,对Internet的合理利用能够实现,在院校中各个校区的网络互联。Intranet VPN有效的通过了加密、VPN隧道等技术,确保了在传输过程中,信息的安全性。

根据这三种应用方案的细致探究,可以体现出不同的方案会适合应用在不同的访问服务当中。按照需求分析能够体现出,校园网一方面需要将校区与校区之间的网络互联实现,另一方面还需要将远程用户访问校园网络资源的指令实现。所以,需要选取Intranet VPN和Access VPN这两种方案当做校园网络安全体制中的具体构架方案[2]。

5 校园网络安全体系中应用VPN技术的设计方案

5.1 Access VPN远程形式下的VPN服务器访问。在用户对校园网络资源的访问过程中,并利用远程协助的方式开展时,需要通过Access VPN技术将其实现。VPN技术会创设在校园网络的内部,对于创设基础环境的选择,则需要选取Linux操作平台,Linux操作平台一方面拥有着免费、容易扩展的特点,另一方面还拥有着较高的性能,可以与Windows Server平台相提并论[3]。

在校园网络中传输的数据想要确保其安全性,需要应用NAT技术以及防火墙,因为在传输层中是SSL VPN在工作,可以涉及到全部的NAT设备与防火墙,确保了VPN技术用户能够实时的对校园网络进行连接。并且,远程的VPN用户在对校园网络进行访问的时候,要设置内网的IP地址,所以DHCP的架设是必不可少的,该服务器能够对IP地址的分配任务合理达成。针对外部网络的用户必须要与VPN服务器相连,并创建DNS域名服务器才能够进入到校园网络。这种方式的采用,能够将屏蔽校园网络结构的目的实现,确保了校园网络的安全性[4]。

5.2 校区之间的网络互联能够运用Intranet VPN来实现。首先需要在每一校区中接入网络连接,将网络出口定制在一个校区中,同时所有的校区之间所开展的信息化系统管理,要利用此网络连接将信息互通完成,包含:教务、人事、财务、一卡通等管理系统。想要确保传输数据的安全性,需要通过IPSec VPN技术,加密应用系统中的相关数据,保证传输数据时的安全性与可靠性。一些用户对信息安全方面有着较高的要求,例如:后勤、财务部门的用户,需要通过二层隔离的方式进行校园网的接入,然后需要利用二层OSPF协议安全的传输到核心型交换机,达成校区与校区之间的加密信息传输。针对普通的用户在访问的过程中,因为具备较低的安全级别,需要将安全要求降低,以此有效的提高VPN服务器的性能[5]。

6 总结

根据以上的论述,各大院校纷纷应用了VPN技术,本文主要设计和规划了VPN技术的应用方案,为的是将校园网络中的安全体系能够体现出可靠性的特点,从而实现校园内部协调管理的模式。

参考文献:

[1]邱建新.基于IPSec的VPN技术在校园网络中的应用研究[J].浙江交通职业技术学院学报,2013,12(09):124-126.

[2]陈恒法,曾碧卿.虚拟专网(VPN)技术在校区网络互联中的应用[J].科技咨询导报,2013,11(07):126-127.

[3]刘巨涛.网络安全技术在校园网络建设中的应用研究[J].内蒙古农业大学学报:社会科学版,2013,10(02):168-170.

[4]邹,刘婷,范志勤.校园网络安全体系的设计与应用分析[J].长沙民政职业技术学院学报,2013,5(04):187-188.

[5]何来坤.VPN技术在校园网络中的应用[J].杭州师范学院学报:自然科学版,2013,14(06):156-159.

篇3

先进视讯: 城市视频监控报警联网系统

优 点

该方案对城市视频监控报警联网系统的网络平台、信息存储和信息管理阐述得较为详细。

方案利用当地电信运营商完善的网络覆盖,采用先进的VPN网络技术构建了虚拟专网的数字化城市监控报警联网系统,具有扩展灵活、维护方便、分布式多中心的特点。

另外,该方案采用IP-SAN网络存储技术,可以实现分布式海量网络存储; 而其信息管理方面分成了信息分级管理、信息传输方式、接入安全管理、数据共享功能、数据分析方法和数据搜索方法等多个方面,是监控报警网络管理软件功能的延伸。

不 足

该方案无论从工程设计还是从应用角度来看,仍然需要完善和改进。

从工程设计角度来说,该方案给出了专用网络的拓扑结构和实现技术,需要对网络流量的需求和设计给出计算方法; 方案在接入方式和终端控制、显示系统等部分的设计内容需要给出更为具体的信息,对设备选型和工程性价比等内容需要加强。

从应用设计角度看,该方案应对三级公安管理中心的应用需求和管理方式方面应有更详细的描述,对采用VPN技术的网络安全和采用运营商管理数据安全等方面也应有更详细的描述,特别是VPN专网与公网、VPN与公安专网的关系需要加强,否则无法给出安全性的判断。

华为3Com:H3C iVS IP智能监控系统

优 点

该方案对现有的应用分析比较深入,同时在设计上比较独特,整个方案都是基于IP网,充分利用了IP网的优势,并把这些优势充分应用到监控系统中。同时引入了IP组播的概念,有一定的前瞻性,符合视频监控应用的特点,在一些情况下能提高QoS(服务质量)。该设计方案应用了最新的网络传输与存储技术,特别适合于建设大型、超大型视频监控主干网络。与传统的模拟视频架构不同,与用DVR(Digital Video Recorder)框架模式(模拟和数字结合)也不同,该方案的体系架构比较先进,设计独到。

方案的编码方式支持MPEG2/MPEG4/H.264编码格式,编码带宽最高可达8Mpbs(编码压缩为高带宽4Mpbs以上),可提供FULL D1高清晰图纸分辨率,这一点有其独到之处。

设计上采用了IP网中的分布式概念来实现IP监控的控制和管理,利用VM(Video Manager)和DM(Data Manager)来实现对各种终端的统一管理和调度,而视频流则可以不经过VM单独传输。把VM作为整个系统的控制和管理核心,所有监控的控制流都由VM处理,这样能在一定程度上提高图像信息的安全性。

系统设计上采用了IP-SAN这项新技术,结合iSCSI技术实现对视频数据流的存储。能向PC客户端提供实际的VOD点播视频流、数据流和视频数据下载等服务,满足现实应用的要求,且具有一定的先进性。

IP-SAN存储可以达到大容量的海量存储,也能达到集中管理,缩短紧急情况下的图像回放响应时间。传输采用IP网络同时完成视频流的传送及交换功能,代替了传统的光端机传输,并可在同一根光纤上传送各种视频图像。

不 足

从目前系统的设计方案来看,要建设中小型监控系统,资金投入可能会有问题。而且在网络条件不太理想的应用环境中,方案对于一些低码流的前端应用适应性方面未作详细描述,方案中的传输设备需要用本公司产品才能实现。安全方面也只是提到采取简单的注册,没有涉及具体的安全策略和方法。

对于如何实现QoS方面的设计方案,提及相对简单。在实施中还需对该方案进一步进行细化设计,详细阐述相关内容。

就拿北京来说,其架构(管理模式是DB/Z384)由住宅小区或社会重要单位建立平台连到各街道和派出所,逐级上传到区政府和公安分局,再上传到市政府和市公安局。各级都有管理职能要求,所以基本模式应符合分级、分层、分权的实用要求。

而将所有信息(包括视频,语音及报警)都传送到IP-SAN一级海量存储,像北京这样大的城市必然会需要巨大容量的存储空间,其安全性令人担忧。而且其设备投资太大,从当前使用角度来看很难达到。

该方案与目前各级已建立起来的视频系统是否兼容,并且其可靠性、安全性等多方面还尚待检验。

中盛益华: CSVision城市治安视频监控系统

优 点

该方案对现有视频监控的应用需求的分析比较全面,在设计上采用了分级管理。用户可根据实际需要,在各服务器间构建多叉树的拓扑结构,实现了分级和分层管理。

该方案在设计上所采用的分布式存储能较好地解决网络带宽和存储问题,分担系统的压力。该方案充分利用现有的网络,可接受多种接入方式,使建设成本降低。系统所应用的生命周期管理、设备心跳管理、实时监控、管理编解码设备以及系统具备的自愈自恢复功能等对于一个成熟的大型视频监控系统来讲是很重要的。

网络视频服务器可以支持不同的网络接入和多级联网,该系统设计方案适合于中、大型视频监控系统建设。是较为广泛的采用方式,比较符合现实应用需求。

不 足

该方案在设计上也还存在一些缺陷,如对在不同级别、不同层次间的信息共享以及系统的安全性考虑比较少,信息的采集、传输及所采取的C/S访问方式等都存在着潜在的安全隐患。

系统虽然支持多种接入方式,但对编解码的标准没有做出明确的方案,是否适合这些接入方式?怎样保证图像的质量?以及需要什么样的网络带宽等问题在方案中没有描述清楚。

天地伟业: 城市监控报警联网系统

优 点

该方案从需求分析、方案设计、运营/管理,主要产品介绍等方面作了叙述,内容清晰、构思清楚。该方案在需求分析、社会资源的接入方式、存储方法等方面有较好的参考价值。

方案从城市监控报警联网系统建设的应用需求分析入手,总结出系统建设功能需求,对公安系统自建信息资源和现有社会信息资源接入系统的方式进行了较为详细的叙述。对公安局监控中心建设给出了规划方案和实现功能,针对网络传输的特点,采用了两级信息存储方案,给出了该方案核心设备的选型和设备参数指标。

结合实际的应用要求,能和现有监控资源兼容,采用标准接口; 可以依据不同需求,选择不同类型的监控设备,方案灵活; 扩容简单,可以逐步完善; 技术相对成熟,实施容易,既能保证传统的模拟系统质量,又可采用先进的数字技术; 城市监控联网系统结合了分级、分层、分权的管理机制。

不 足

方案对前端的接入方式没有描述,应给出详细的前端接入方式说明。

方案的基层控制中心建设过于简单,应推荐给出模拟、数字和模数结合三种不同的实现结构框图,并详述各自不同的优缺点,供具体实现者参考。

在功能需求方面虽然提出了安全性要求,但在方案设计中没有体现出安全性的保障措施; 特别是方案提到了能利用电信运营商的通信网络解决城市监控网络的覆盖面问题,但如何解决通信网络与公安专网的衔接方面没有给出具体方法,安全性很难判断。

在如何确保图像的传输质量(特别是数字传输)方面,缺乏技术措施。在产品介绍上应更多说明其接口对不同系统设备的兼容,因为各地平安城市监控系统不可能都用该方案产品。在监控系统使用的控制权限上如何达到相互调用,从技术方案上要有措施。

松下电器: 银行网络视频监控系统

优 点

该方案是银行建设的全数字化网络视频监控系统方案,采用星型网络拓扑结构,并采用了网络供电方式,提高了系统的灵活性和可扩展性,降低了施工及布线成本; 前端摄像机采用网络监控摄像机,通过网络交换机将图像及数据接入监控中心,由中心内配置的网络硬盘录像机对前端图像进行记录。该方案根据不同监控点的实际应用需求,采用了不同分辨率的网络摄像机――百万像素网络彩色摄像机,拍摄的图像清晰、鲜明。每台网络摄像机配置1GB的SD卡以备网络故障时图像记录,提高了图像记录的可靠性; 该方案的最大特点是采用双编码格式,形成M-JPEG 和MPEG-4两种视频媒体流,MPEG-4利于实时动态观看,M-JPEG利于高清晰图像的记录。

该实时监控录像系统的使用可减少银行柜员制业务中出现的错误和纠纷,切实保障银行和储户的权益,有效防范金融诈骗等犯罪活动。

不 足

该方案给出的系统结构框图仅仅是一个营业部门的监控系统图,没有给出银行的各营业部门的监控系统是否联网,以及如何联网等相关问题的解决方案。

对网络体系结构介绍较为简单,没有给出网络流量的需求和保障措施,对网络安全没有论述; 该方案仅在系统框图中画出了城市安防中心,但没有给出监控系统与城市安防中心的接口和传输方式的说明,同时监控中心没有建设多屏显示,不利于值守人员工作; 作为一个银行监控系统,方案中对报警系统没有描述,对报警系统与监控系统联动的叙述过于简单。

蓝色星际: ATM视频监控联网系统

优 点

该方案专门针对金融行业中通过联网的方式实现对所有ATM网点的集中统一监控和管理,核心设备均采用嵌入式操作系统,具有任务单一、响应实时的特点,避免了Windows等PC操作系统启动缓慢、安装配置复杂、不易维护、不能长时间稳定工作的弊病。嵌入式操作系统完全避免了病毒及其他非法手段的入侵,大大地提高了系统的安全性。

方案采用模块化结构设计,可以提供灵活的系统组合,用户可以根据需要灵活配置硬件数量。在尽量不改动原有现场监控系统的条件下,可将该系统作为一个功能模块嵌入在原有系统之中,保证新的系统不影响原有系统的稳定性并有效保护用户以前的投资。

方案将ATM作为网络视频监控系统的网点,并从设计原则、设计依据和应用技术特点、产品主要功能等方面做了详细说明。

不 足

篇4

校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系IP被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。

2校园网络安全防范设计方案

为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:

2.1利用备份链路优化校园网的容错能力

备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。

2.2计算机防火墙的合理应用

计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。

2.3VPN的构建

VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。

2.4网络层其他安全技术

网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。

3校园网的安全管理方案

计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:

3.1应用VLAN技术提升网络安全性能

VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。

3.2利用网络存储技术,确保网络数据信息安全

校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。

3.3配置交换机端口控制非法网络接入

交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。

4总结

篇5

关键词:企业发展;计算机局域网;设计方案

Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.

Keywords: enterprise development; computer network; design

中图分类号:TP393.1 文献标识码:A文章编号:2095-2104(2013)

局域网是在一个局部的地理范围内比如:一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。计算机局域网严格意义上是封闭型的,它可以由办公室内几台甚至上千上万台计算机组成。决定计算机局域网的主要技术要素为:网络拓扑,传输介质与介质访问控制方法。局域网的名字本身就隐含了这种网络地理范围的局域性。由于较小的地理范围的局限性,企业计算机的局域网通常要比广域网具有高的多的传输速率,例如,计算机局域网的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而广域网的主干线速率国内仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。计算机局域网的拓扑结构常用的是总线型和环行,这是由于有限地理范围决定的,这两种结构很少在广域网环境下使用。另外企业运用计算机局域网还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。

一、我国企业计算机局域网设计方案

为了提高企业的工作效率,从而进一步提高企业的经济效益,很多企业都购置了可供需要的大量计算机。随着经济的不断发展,社会生产力不断地提高,我国计算机技术水平不断地提升,企业的计算机也不在是以前孤立的个体,慢慢的经过科学技术革新、研究形成了企业根据自身情况所建立的“企业计算机局域网”。使企业内部形成的资源高度的共享、企业各部门有机协调的计算机网络,既方便了企业员工之间的工作,也同时方便了企业管理层对员工的监督。就目前,我国各企业大都建立了自己的计算机网络,网络应用也逐渐颇具规模,特别在数值计算、信息管理、办公事务、工程(产品)设计、加工制造等方面基本实现了计算机应用,计算机、网络和数据库正在成为企业日常运行的基石。那么我国企业计算机局域网主要有以下几种设计方案和遵循标准:

1、企业内部计算机局域网建设

企业内部计算机局域网:是企业内部日常运作的重要保证。通过企业内部计算机局域网建设可实现企业内部办公自动化,财务电算化,数据共享,上网链路共享,打印共享,内部电子邮件传输等一系列功能。但设计这样的企业内部局域网需要遵循以下几点原则:

(1)根据企业具体实际情况,设计网络模型

根据企业的具体实际情况,建议整个网络系统采用多服务器的“主干—星型”混合拓扑结构。采用光纤和5类双绞线连接UTP加上百兆交换机,从而实现真正的百兆连接到桌面。其中服务器和交换机放置在专用计算机房,并配置网络UPS。这种企业内部局域网络设计结构的优势在于非常灵活,网络中任何一台机器出现故障,对企业网络整体都不会构成很大影响。另外由于财务系统具有封闭性,可以在企业内部局域网络中建立分支结构,既便于财务人员从主干获取信息,也保证企业内部财务信息的安全。

(2)工程布线标准

企业计算机局域网络系统布线工程标准参照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工业、国际商务建筑布线标准及相应国家电信通信标准。

(3)网络的保修:要定期对企业内部的计算机局域网进行维修检查,以防止故障的产生,影响企业工作的流程安排。

(4)企业内部要建立自己本企业的网站

企业计算机局域网与传统的企业内部办公网络的主要区别在于,在先进的网络设备和接入带宽的保证下,有一套运行在企业内部局域网上的,与企业内部局域网网站相关连又有所区别的企业内部网站。可供企业员工分享资料,查看企业的最新动态。

2、企业计算机局域网上网共享的实现

通过企业计算机局域网,可使全体员工共享上网资源。根据人员情况和上网需求量的大小,还可采用以下三种方式对上网进行分类:

(1)ADSL上网

非对称数字用户环路,可以在普通的电话铜缆上提供1.5~8mbit/s的下行和10~64kbit/s的上行传输,可进行视频会议和影视节目传输,非常适合中、小企业。

(2)ISDN上网

目前在国内迅速普及,价格大幅度下降,有的地方甚至是免初装费用。两个信道128kbit/s的速率,快速的连接以及比较可靠的线路,可以满足中小型企业浏览以及收发电子邮件的需求。而且还可以通过ISDN和Internet组建企业VPN。这种方法的性能价格比很高,在国内大多数的城市都有ISDN接入服务。

(3)DDN专线上网

这种方式适合对带宽要求比较高的应用,如企业网站。它的特点也是速率比较高,范围从64kbit/s~2Mbit/s。但是,由于整个链路被企业独占,所以费用很高,其优势在于速度极快,在满足内部上网需求的同时可以用于网站。这样就节省了网站所须的线路费用。

二、企业计算机局域网设计的发展趋势

随着我国企业科学管理水平的提高。企业管理科技化、信息化越来越受到企业的重视。对于企业计算机局域网设计发展趋势应越趋于网络速度的快速化、网络信息的安全化、企业计算机局域网络的稳定化。其中,企业局域网的信息安全化逐渐成为企业设计计算机局域网的着重点。因为企业的计算机局域网与国际互联网相联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业内部的计算机局域网在给内部用户带来工作便利的同时,也面临着外部环境——国际互联网的多重危险。如病毒,黑客、垃圾邮件、而已侵袭软件等给企业内部网的安全和性能造成极大地冲击,甚至会造成企业内部的经济损失。那么如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为当前企业设计计算机局域网必须解决的一个重要问题。

为了更好的解决企业信息安全的问题,确保网络信息的安全,企业应建立完善的计算机安全保障体系。该体系应包括网络安全科学技术的防护和企业网络信息安全管理两方面。对于网络安全技术的防护主要侧重于防范外部非法用户的攻击和企业重要内部数据信息的安全。而企业网络信息安全管理则侧重于对内部人员操作使用的管理,也要防止内部人员的泄漏。并在采用新的科学技术建立网络安全防御体系的同时,加强企业信息网络的安全管理这两方面相互补充,缺一不可。这个安全防御体系其中包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控,在这些安全防御体系中入侵检测系统、漏洞扫描系统和病毒防护系统比较重要。总之,对于企业计算机局域网的设计发展,企业应从多方面考量,从整体着眼,促进企业的长远发展。

【参考文献】

1、于玥.《网络信息管理及其安全》.[J].计算机光盘软件与应用.2010

篇6

作为高校教育信息化的一项重要基础设施建设,无线校园网在我国的发展已经将近二十年。与有线校园网相比,无线校园网可以让人们在校园里随时随地地访问网络资源,不再受到地域的限制。随着手持无线终端设备的普及,无线网络已被人们接受,大有取代有限网络的趋势。相伴而来的问题是由于采用了无线传输,用户在使用时面临越来越严重的安全问题,因此无线校园网的发展急需解决自身安全问题。目前,无线校园网正朝着高速率、大规模、集中管理的方向快速发展。伴随着无线网络架构的发展,无线网络从分散安全管理发展到集中安全管理,从与有线接入融合式的安全管理发展到无线接入专网的安全管理,有必要确定一种安全架构体系满足无线校园网的安全需求。本文着重讨论了应如何搭建无线校园网安全架构,并提出了相应的安全实施方案。本文重点阐述了目前面临的无线网络安全问题,根据这些问题并结合中等规模校园的无线校园网络安全需求,详细阐述基于三层架构的独立成网的无线校园网的安全部署和安全措施,最后提出了一个适合中等规模高校的无线校园网安全架构设计方案,供作参考。

【关键词】无线校园网络 WLAN安全

进入21世纪,随着无线技术及其应用的迅猛发展,人们的生活也因此而正在发生巨大的改变。近年来,全球的信息化与网络化无线技术与应用日益走向融合,网络时代正在无线技术的强力推动下悄然走进我们的生活。但与此同时,当无线网络技术渗透到社会方方面面的时候,技术本身的安全性就会成为了人们关注的重点。于是,一个有效的、安全的、强健的无线网络是越来越多人的期盼。

作为无线局域网最典型的应用场景之一,无线校园网的建设越来越得到人们的关注。随着高校规模的不断扩大,校园无线用户的数量飞速增加,传统思路下的无线校园网已满足不了现实的需要。当前,无线校园网在接入规模上要求满足大规模的移动智能终端接入;在接入速率上要求提供不逊色于有线LAN的传输速度;在信号覆盖上,更是要求既能弥补有线网络覆盖的不足,还要能同时覆盖有线网本身的区域;在服务支持上,无线校园网正在向实现全网移动漫游的方向发展。伴随着无线校园网的快速发展,无线校园网的安全问题也日趋凸显。亟需在无线网络性能高速提升的情况下,改善和增强其网络自身的安全性。但安全问题是一个动态的体系问题,不是靠哪一项安全技术的出现就可以彻底地解决,一味地强调安全会进入安全的误区。不存在绝对安全的网络,只存在相对安全的网络。于是研究在当前的技术条件下高校无线校园网的安全架构就十分具有现实意义。

1 校园WLAN的发展

一般而言,凡是采用无线传输的计算机局域网都可称为无线局域网WLAN。目前,市场上采用的WLAN的技术很多,比较典型的有IEEE802.11系列技术、蓝牙、红外技术等。在这些技术之中,又以IEEE802.11系列技术最为突出。它凭着自身优异的技术性能和成熟的标准体系实际上已成为WLAN技术的代言人。我国的无线校园网起步较晚,直到2002年北京大学才建成了我国第一个校园无线网络。从已走过的十多个年头来看,我国校园网络建设发展经历了从简单有线LAN的接入端加上无线AP(Access Point)、引入AC设备集中管理AP到建设独立无线校园网的过程。由于独立的无线校园网络结构简单,既解决了带宽不足的问题,又能轻松实现全网AP的统一管理,目前己成为新建高校建设无线校园网主要方式。

2 校园网络安全问题及原因

与有线局域网相比,无线局域网(WLAN)具有易于扩展、便捷灵活、经济实用等优点,但是由于WLAN开放的传输信道,使其更容易受到这种攻击。

一般来说,攻击者的攻击方式有以下几种:

2.1 窃听

窃听是被动式的攻击方法,也是最常见和最容易的。由于WLAN的无线信号的特征,理论上只要是无线电波可以到达的地方都可以被攻击者窃听到。若用户的重要数据无线传送过程未进行复杂的加密措施,则信号传输过程中被窃听的概率相当之高,用户将遭受意外损失。另外,由于无线信号的区域覆盖性,攻击者无法被有效定位,因此其身份很难被察觉。隐蔽和随机的攻击,使网络的监控措施有很大的难度。

2.2 非法登陆

非法登陆是指某个非法用户使用非法技术手段通过AP连接上了一个WLAN的行为。一般来说非法登陆导致的后果通常都比较严重,因为它本身具备了主动攻击的能力,并可能借此为跳板对其它网络进行攻击。

2.3 攻击干扰

大部分的攻击干扰的目的纯粹只是为了破坏网络使其彻底瘫痪,使网络失去自身的作用。但还有一种行为被称为中间人攻击。攻击者把自己伪装成AP,使得用户在不知情的情况下就接入了攻击者伪装的AP,攻击者就可以轻松窃取用户发送的敏感信息。

2.4 DoS(拒绝服务)攻击

相比有线局域网,无线局域网面临着更多的在无线环境下特有的DoS攻击。攻击者通过不断的发出无效信息来干扰无线网络的正常运行。最常见的DoS攻击是通过向AP发送大量垃圾信息来消耗AP的资源,使其无法提供其他用户的接入,最终导致网络瘫痪。

2.5 重放攻击

重放攻击是指攻击者通过截获无线用户发送的认证凭据,重复向认证服务器发送骗取认证服务器的信任,以达到侵入网络的目的。

除了以上五种主要的安全问题外,WLAN还面临着很多形形的安全威胁,例如针对破解加密算法的攻击、地址欺骗攻击、重路由攻击等等。

针对WLAN中存在的这些安全问题,我们可以从研究WLAN的通信规格和相关的网络协议出发,系统分析WLAN安全问题的特点,通过构建一个较完善的WLAN安全架构来确保WLAN的安全。

3 无线校园网的安全需求

学校教学、科研水平的提高和使用人数的增多要求无线校园网承载更多的业务应用,因此对无线校园网的安全需求也越来越高。

常见的无线校园网的安全需求有八个方面:(1)高可用性的冗余设计;

(2)安全的准入准出机制;

(3)支持BYOD接入功能;

(4)完备的访问控制机制;

(5)安全威胁的监视与追踪;

(6)迅速的安全响应机制;

(7)出口安全控制;

(8)AP的负载均衡。

要满足无线校园网的安全性需求,有必要在建设之初通盘考虑网络架构设计,使其满足无线校园网各层次用户的实际需求。

4 无线校园网的安全设计

无线校园网的安全体系架构设计可分为七个部分:网络结构的安全设计、安全接入功能的设计、统一认证和准入准出的设计、出口的安全功能设计、SSID和VLAN划分设计、IP地址规划设计、网络管理安全系统的功能设计。

4.1 网络结构安全设计

一般来说,校园无线网络在设计采用了“瘦”AP+AC的单核心三层架构方案。在核心交换机上设计部署超大规模的智能AC设备对全网所有AP进行集中式管理。为了确保无线网络的高可用性,防止AC出现问题导致网络瘫痪,通常采用双AC冗余方式来保证网络结构的安全。双AC冗余设计采用AC的1+1快速热备份。采用两台AC设备分别与核心交换机连接互联,分别设置为一主一备两个控制器。网络里所有AP同时与两台AC建立CAPWAP隧道。

4.2 安全接入功能设计

安全接入功能设计一般分为两块内容,分别为WIDS功能设计和支持先进加密算法和用户访问控制。

在AC上部署WIDS模块主要是为了实现对无线网络的入侵攻击行为的检测和隔离,当AC的WIDS模块检查到无线接入网发生了诸如非法登陆等行为时,AC能自动监测发生问题的AP和客户端,并将其从网络里剔除。由于WIDS只能检测出离基于二层网络的攻击行为,因此还需要AC设备可以支持与高层的IDS设备联动。

为保证无线网络部分的安全,设计要求AP/AC必须支持多种加密和认证技术统一实施。

4.3 统一认证和准入准出的设计

基于保证用户使用的便捷性,校园无线网络一般采用统一身份认证和统一准入准出的设计方案。常见的web portal和802.1x两种认证方式能够满足不同区域的不同业务访问需求。

4.4 出口安全功能设计

一般来说网络具有独立的网络出口,作为连接内外网设备的出口网关需拥有强大的路由功能,支持多种路由协议。当用户访问互联网时,网关设备要自动校准DNS解析,在多种路由协议的支持下用户选择最快的路径访问互联网。另外,出口网关还需支持NAT的地址转换,实现内外网地址分离,节省公网IP地址资源。为保证内网能够抵御外网的攻击,出口设备需要有完善的安全措施,确保无线校园网的安全平稳运行。从节约建设资金的角度考虑,一般在安全功能上要求采用一体化的安全网关设备来综合实现安全功能,避免购买大量安全设备。

4.5 SSID和VLAN划分设计

一般来说无线校园网里至少需要规划五种VLAN,分别是:无线用户的业务VLAN、无线用户VLAN、AP的管理VLAN、AC的管理VLAN和交换机的管理VLAN。其中AP的管理VLAN用于AP到AC的通信,之所以将AP和无线用户的VLAN分开划分,是保护AP和AC通信的安全,增强其稳健性。AC的管理VLAN用于外网远程登录AC。交换机的管理VLAN用于交换机的远程管理。无线用户VLAN和无线用户的业务VLAN要根据实际情况灵活分配。

网络设备可分配的VLAN数量很大,一般来说支持数量达到4096个,完全可以满足中等规模无线校园网的业务需求。根据业务实行全网单一SSID的设计在无线校园网建设中比较常见。唯一SSID的设计简化了管理难度,用户在使用时也较易实现全网的无缝漫游。

4.6 IP地址规划设计

无线校园网里的IP地址规划,通常要考虑终端STA的IP地址、AP的管理IP地址、AC的IP地址和不同业务的网关IP地址。STA用户的IP地址和AP的管理IP地址都要求通过DHCP Server自动获得,不需要手工配置。DHCP Server的位置通常都在核心层,可集成在某个设备模块上。常见手法是独立采用ZHICHI DHCP reply功能的核心交换机。通过在出口网关上利用NAT地址转换,STA和AP分配到的私网地址就访问互联网。这样的IP地址规划,有利于节约公网地址资源。

4.7 网络管理安全系统的功能设计

面对像中等校园规模的网络实现统一的安全管理非常重要。由于网络规模很大,因此安全策略的制定需要从全网的角度来出发设计,完全有必要建立一套相应的、完善的安全管理系统来掌握全网的安全动向。设备方面,尽量采用同一个厂商的主要设备,那样可以很好的实现设备的兼容性。另外,新建立的网管系统在技术上必须满足包括支持大规模无线设备的配置和管理,支持B/S的架构,支持网络拓扑自动发现,支持无线AP和AC以及有线设备的统一管理,支持接收告警信息,能够准确定位故障点,可以分析映射表发现IP和MAC地址异常等。

5 无线校园网络的安全功能测试

要验证无线校园网方案的安全功能能不能达到高校安全的要求,还需要进行一系列的安全功能测试。比如:非法AP的检测和抑制功能测试、网管系统发现AP故障并处理的功能测试、网管系统定位合法和非法终端的功能测试等。如测试结果良好,则说明无线校园网的安全功能达到了设计要求。

6 总结与展望

通过对当今常见的无线校园网架构进行研究,本文着重讨论了应如何搭建无线校园网安全架构,并提出了相应的安全实施方案。本文重点阐述了目前面临的无线网络安全问题,根据这些问题并结合中等规模校园的无线校园网络安全需求,详细阐述基于三层架构的独立成网的无线校园网的安全部署和安全措施。

随着手持智能终端的迅速普及,无线网络在未来的发展中占据着特别重要的角色。虽然当前无线网络还存在着各种各样的安全漏洞和隐患,但随着各项网络技术和系统技术的发展,我相信在不久的将来这些问题都能得到很好地解决。展望未来,信息时代即将到来。

参考文献

[1]钱进.无线局域网技术与应用[M].北京:电子工业出版社,2004.

[2]段水福,历晓华,段炼.无线局域网设计与实现[M].杭州:浙江大学出版社,2007(11).

[3]孙言强,王晓东,周兴铭.无线网络中的干扰攻击[J].软件学报,2012,34(05):1207-1221.

[4]马建峰.无线局域网安全体系结构[M].北京:高等教育出版社,2008(05).

[5]王隆娟,杜文才,姚孝明.浅谈无线网络安全问题[J].信息安全与技术,2010(08):87-93.

篇7

面对一个庞大、复杂的内网及相关的信息系统,单独对每项信息资产确定保护方法是非常复杂的工作,应该采用信息安全等级保护的策略。边界防护作为网络安全等级保护的重要机制之一,将划分整个系统的边界,制定安全域规则,将各类信息系统归入不同安全域中,对进出该等级网络的数据进行有效的控制与监视。每个安全域内部都有着基本相同的安全特性,在同一安全域内实施统一的保护,从而大大地降低了安全防护的难度。

西安交通大学医学院第一附属医院(以下简称“交大一附院”)拥有内外两套相互物理隔离的网络系统,内网主要应用于医疗业务系统,外网主要应用于办公及互联网业务,内外网之间基本没有通信,数据交换也采用原始的导入导出方式。传统的物理隔离方式虽然较为安全,但是违背了等级保护为不同等级数据提供通信的初衷,并且随着SDR(Software Designed Radio)在各个领域中的应用,物理隔离已经越来越难以实现。

医院信息系统安全域划分

安全域划分作为边界安全防护的首要步骤,并不等同于传统意义上的物理隔离,它是在综合分析各套信息系统的安全需求及所面临的安全威胁的基础上,充分兼顾系统之间正常数据传输的通信需求,对系统内不同安全区域进行的层次化安全策略防控。

医院信息系统在进行安全域划分设计时应遵循以下基本原则:(1)从医院信息系统的业务特殊性等方面考虑总体性要求,合理划分网络安全域,保证信息系统的整体安全防护能力;(2)根据各信息系统与医院医疗相关程度进行层次化网络结构设计,形成网络纵深防护体系,与医疗业务直接相关系统应位于纵深结构内部;(3)安全域内根据业务类型、业务重要性、物理位置等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(4)同一安全域内重要网段与其他网段之间采取可靠的技术隔离手段;(5)建立多重保护系统,避免将整套系统安全寄托在单一安全措施或安全产品上;(6)安全域划分的目的是充分发挥安全产品的整体效能,并不是对原有系统整体结构的彻底颠覆,因此在对网络结构改造的同时,需要考虑保护已有投资,避免重复建设。

医院信息系统边界划分

结合医院医疗业务需求和网络安全需求,首先从总体架构上将该医院信息网划分为医疗业务网(内网)、办公互联网(外网)两个基本的信息系统。再针对各信息系统所承载的业务、应用等不同特点,在各信息系统内部继续划分安全域。各信息系统内部安全域及网络边界的详细划分情况见图1。

1.内网(医疗业务系统)

医疗业务系统主要承载着医院医疗业务中的收费、电子医嘱、电子病历、医学影像、检验等信息系统,其安全域可划分为:

医疗业务终端区:主要指医务人员使用的业务终端,位于医疗业务系统。与互联网、办公网等外部网络域物理隔离;

内网开发维护区:主要指信息维护及软件开发业务终端;

内网服务器区:主要指为医疗业务系统提供数据及应用服务;

内外网数据交换区:主要指医疗业务系统与办公互联网系统的内外数据交换区域。

2.外网(办公互联网系统)

办公终端区:医院办公业务如OA、邮件等业务终端;

外网服务器区:医院门户网站、预约网站及办公系统服务;

互联网接入区:医院局域网络与互联网接入区。

3.相关边界描述

根据医院业务特点,医疗业务系统承载着医院业务运转,其安全性关系到每位患者的切身利益,下面以该院内网区域为主,按照安全域划分的具体情况,对照分析各安全域之间的业务关系,各边界及相关接口定义描述如下:

边界1:内网与外网的互联边界,用于实现医疗业务系统与办公互联网的数据交互及分级防护;

边界2:业务终端边界,用于实现业务系统与医护人员的人机交互业务;

边界3:维护开发终端边界,内网业务系统与软件开发的互联边界,用于软件开发、更新、系统维护等等业务;

边界4:服务器区边界,门户网站、诊疗预约网站与公众访问的边界。

医疗业务网边界防护方案设计

边界保护主要考虑的问题是如何使某个安全等级的网络内部不受来自外部的攻击,根据边界划分结果,主要防护的区域有:内外网交换区、服务器区、业务终端区、维护开发终端区。边界防护的主要机制有以下几种。

1.网络边界隔离措施(防火墙、网闸)

防火墙、网闸是常规的网络边界防护技术,便于对网络边界进行安全控制,但是传统防火墙无法对病毒、蠕虫及其引起的恶意流量进行控制。防火墙技术利用逻辑层访问控制策略,对双向数据进行定义,物理层属于联通状态,实时交互性高,安全性高。网闸由于采用数据“摆渡”原理,在数据传递过程中网络之间属于物理隔离状态,实时交互性较差,安全性最高。

交大一附院在使用网络过程中发现,网闸安全性高,但维护难度较高,配置较为复杂,如果厂商的支持力度不足将大大影响医院外联业务的开展,而防火墙虽然安全性较网闸差,但是配置简单。因此,可以针对不同业务对安全性的要求及数据交互的实时性要求,采用不同的网络边界防护措施。

2.主机边界入侵防御系统(IDS、IPS、UTM)

入侵防御系统,在攻击检测、安全审计和监控方面都发挥了重要作用,通常架设在网络间的通信路径中间。IDS以旁路方式接入网络,对不产生网络负载,以检测报警功能为主。IPS不仅能够实现对攻击的检测报警,还能对攻击进行阻拦和防范,但是必须串联接入网络,在系统防护的同时势必对网络流量造成影响。

UTM是集合IDS、IPS、防病毒、防火墙等功能于一身的防护措施,所以也被称为“统一威胁管理平台”,主要应用于网络边界,如局域与广域之间、内网与外网之间,UTM使得网络边界的防护整体化、平台化,它的处理能力、吞吐量和自身对抗攻击的能力是影响性能的关键因素。但是,作为其他环节的防护措施而言,过于集中的功能与我们按照等级或按照安全域进行分级防护的思路有所偏差。

根据医院业务特色,医院业务高峰相对集中,同时在网络边界已经采用了防火墙及网闸技术,过度的防御反而会对业务系统的性能造成影响,容易形成网络瓶颈,因此我们采用了旁路方式将IDS接入核心网络区域,实现内部与外部入侵的综合检测,根据报警及时采取相应措施。

3.终端边界安全防护

据调查医院内部网络中95%以上的病毒,源自终端设备违规使用外接设备交换数据,因此对终端设备的端口控制与病毒防护尤为重要。部分防病毒系统已经具备防病毒与端口管理等多种功能,也可以通过桌面管理实现对终端的资产管理、远程维护、端口管理、组策略管理等更多功能。同时,采取措施对终端的U盘启动功能进行屏蔽或管理达到有效防护,对于非法接入的终端设备,则需要采取终端准入认证机制。

而针对维护开发终端,使用人员多为计算机专业人员,且有大量外包公司人员,流动性大,系统权限较高,为了便于系统开发及维护,开发人员往往需要直接访问主机、数据库、外界支持,如远程支持、外部数据接入,外部文件拷贝等,降低了桌面及防病毒的防护等级。对系统安全的威胁性更高,开发终端病毒感染数远远高于业务终端,同时还有集中在信息科的文件服务器也是病毒高发区。

防病毒网关作为一种网络病毒防护机制,需要对经过网关的数据包都进行数据过滤,经过测试,防病毒网关对部分应用会造成效率影响,因此较为适合作为区域性网络防病毒措施,不建议将单台设备用于全网防病毒。

考虑到各种措施的防护能力,我们将终端防护的重点放在了开发维护终端区,在防病毒及桌面管理的基础上,采用防病毒网关及主机访问网关(堡垒机),控制开发维护区域的病毒影响和开发人员对主机的访问控制。

4.安全审计技术

在可追究性方面,从安全事件发生概率来说,内部问题远远大于来自系统外部的攻击,安全审计已经成为信息安全体系中的重要环节。对于内部人员非授权访问、数据窃取等违规操作,可以通过加强审计进行及时发现和有效制止,在国家信息安全等级保护建设中针对医疗行业的特殊要求中防“统方”被作为重点审计的一个环节。

因此在安全审计方面,可以采用以数据端口镜像方式旁路接入网络的带有“统方”审计的数据库审计措施和针对主机及网络的审计措施。在数据库审计实施时由于大部分数据库审计产品厂商对医疗卫生行业不了解,需要进行详细的需求调研和系统设置。

5.其他安全保护措施

除以上述主要的边界安全措施外,还需采用以下安全保护技术,以保证各安全域内服务的完整性、可用性,以及信息的完整性、机密性、可用性:

(1)在各安全域的核心交换机上进行VLAN划分,不同业务部署在不同VLAN上,并启用访问控制列表(AcL)功能,只允许合法的数据流通过,实现不同业务之问的隔离。安全策略应细化到IP地址和端口。

(2)在各安全域的核心交换机上部署漏洞扫描系统,搜索安全域内关键网络设备、各监务子系统和关键服务器等的漏洞信息,并在不会对业务系统的正常运行造成影响的前提下进行相应安全加固。

(3)对登录操作系统和数据库系统的用户,采用动态口令认证系统实现核心服务器身份认证。

(4)在核心服务器上部署防病毒软件,进行恶意代码防护,实时监控主机的工作状态和网络访问情况。

6.边界防护方案拓扑

综上所述,交大一附院确定了最终网络边界防护方案见图2。

7.方案的设计总结

篇8

关键词:医院 信息网络系统 风险控制

当今社会,人们获取信息的重要途径就是计算机网络,在计算机网络发展的同时也存在一些安全隐患,它不会通过安全的体系设计方案进行解决,比如非法访问用户账户、干扰计算机网络的正常运行、破坏数据的完整性,传播网络病毒,进行数据盗取等。医院要想计算机网络消除安全方面的隐患,需要先对影响计算机安全的因素有个大体的了解。下面就讲解了影响医院计算机信息网络系统安全的因素。

一、影响医院信息系统安全的因素

1.自身系统及软硬件的不稳定

医院信息网络系统不可避免的会出现安全漏洞。信息网络系统最容易出现漏洞的方面有调用RPC漏洞,缓冲区溢出漏洞。信息网络系统的数据库也比较容易受到攻击。信息网络系统出现的漏洞被利用后,可能会遭受远程攻击。应用软件具有一定的软件缺陷,这种缺陷可以存在于小程序中,也可以存在于大型的软件系统中。软件的缺陷导致了医院信息网络系统的安全风险。网络硬盘设备方面也存着在缺陷,网络硬盘作为信息传递中重要的硬件设备,在被人们使用的同时也存在着安全隐患,它包含的电磁信息泄露是主要的安全隐患。网络硬盘与计算机信息网络系统组成的不牢固也能造出计算机信息网络系统安全隐患。

2.网络病毒的恶意传播

现在网络病毒从类型上来分有木马病毒和蠕虫病毒。木马病毒采用的是后门启动程序,它往往会隐藏在医院计算机的操作系统中,对用户资料进行窃取。而蠕虫病毒比木马病毒更高级一些,它的传播可以通过操作系统以及软件程序的漏洞进行主动攻击,传播途径非常广泛,每一个蠕虫病毒都带有检查计算机电脑是否有系统及软件漏洞的模块,如果发现电脑含有漏洞,立刻启动传播程序传播出去,它的这一特点,使危害性比木马病毒大的多,在一台电脑感染了蠕虫病毒后,通过这个电脑迅速的传播到、该电脑所在网络的其他电脑中,电脑被感染蠕虫病毒后,会接受蠕虫病毒发送的数据包,被感染的电脑由于过多的无关数据降低了自己的运行速度,或者造成CPU内存占用率过高而死机。漏洞型病毒传播方法主要通过微软windows操作系统。由于windows操作系统漏洞很多或者用户没有及时的进行windows系统的自身更新,造成了漏洞型病毒趁虚而入,攻占医院的计算机电脑。计算机技术在更新换代,病毒技术也在发展变化,现在的网络病毒不像以前的计算机病毒,现在的病毒有的可以通过多种途径共同传播,比如集木马型病毒、漏洞型病毒于一体的新病毒混合体。该病毒对网络的危害性更大,处理查杀起来也比较困难。

3.人为恶意攻击

人为的恶意攻击是医院计算机信息网络系统面临的最大安全风险,人为的恶意攻击可以分为主动攻击和被动攻击,主动攻击是有选择的通过各种形式破坏信息网络系统的完整性和有效性;被动攻击是在不影响医院信息网络系统正常运行的情况下,进行数据信息的窃取、截获以及寻找重要的机密文件。它们都对医院的信息网络系统造成了巨大的危害。

二、保护医院信息系统安全的措施

1.建立防火墙防御技术

防火墙设计的理念是防止计算机网络信息泄露,它通过既定的网络安全策略,对网内外通信实施强制性的访问控制,借此来保护计算机网络安全。它对网络间传输的数据包进行安全检查,监视计算机网络的运行状态。一个完整的防火墙保护体系可以很好的阻止威胁计算机的用户及其数据,阻止黑客通过病毒程序访问自己的电脑网络,防止不安全因素扩散到电脑所在的局域网络。通过将用户电脑的使用账户密码设置的高级些,,禁用或者删除无用的账号,不定期进行账号密码的修改都可以很好的防止病毒侵入。由于网络入侵者的实时性、动态性,所以在计算机网络中防火墙软件要做到实时监控的要求。防火墙的实时监控技术通过过滤在调用前的所以程序,发现含有破坏网络安全的程序文件,并发出警报,对可疑程序进行查杀,将网络入侵者阻拦,使计算机免受其害。

2.采用特征码技术

目前的查杀病毒采用方法主流是通过结合特征码查毒和人工解毒。当搜查病毒时采用特征码技术查毒,在杀除清理的时候采用人工编制解毒技术。特征码查毒技术体现了人工识别病毒的基本方法,它是人工查毒的简单描述,按照“病毒中某一类代码相同”的原则进行查杀病毒。当病毒的种类和变形病毒有相关同一性时,可以使用这种特性进行程序代码比较,然后查找出病毒。但是描述特征码不能用于所有的病毒,许多的病毒很难被特征码进行描述或者根本描述不出来。在使用特征码技术时,一些补充功能需要一同使用,比如压缩包和压缩可执行性文件的自动查杀技术。

3.其他网络安全保护对策

加密技术通过将医院计算机信息网络系统的可读信息变为密文来保护网络安全。IP地址影响着用户的计算机网络安全,网络黑客通过特殊的网络探测手段抓取用户IP,然后对此发送网络攻击。对IP进行隐藏是指通过用户服务器上网,防止了网络黑客获取自己的IP。关闭电脑中不必要的端口也可以有效防范黑客的入侵,还能提高系统的资源利用率。对自己的账号密码进行定期、不定期的更改,然后设置账号密码保护问题,可以在第一道防线阻止网络黑客的入侵。及时更新计算机操作系统和应用软件可以有效避免漏洞病毒的侵入。安装知名的保护网络安全软件,对保护网络安全的软件进行及时更新。

总结

医院信息网络系统的安全与医院的经济效益息息相关。影响医院信息网络系统安全的因素是多方面的,网络病毒也在不断发展进化,面对这种严峻的形势,我们不能只采用单一的防范措施,而是采用多种保护医院信息网络系统安全的措施,相互协调,发挥优势,扬长避短,保证医院的信息网络系统在防范风险方面取得较好的效果。

参考文献:

[1]王鑫.关于医院网络环境下计算机安全的防范技术[J].计算机与数字工程,2009

[2]邓立新.加强医院中信息网络系统安全的思考[J].科技资讯,2008(26)

篇9

ICS的网络威胁与脆弱性

ICS系统的网络威胁工业控制系统的网络架构朝着工业以太网的方向发展,其开放性逐渐增强,基于TCP/IP以太网通讯的OPC(OLEforProcessControl,用于过程控制的一个工业标准)技术在该领域得到广泛应用。从工业控制系统的网络现状分析,ICS网络面临两类安全威胁:1)开放性引入的安全风险。例如TCP/IP协议和OPC协议等通用协议的漏洞很容易遭到来自外部或内部网络的攻击。2)连接性引入的安全风险。早期,工业控制系统和企业管理系统是物理隔离的,但近年来为了管理与生产的方便,两个网络系统间以逻辑隔离的方式存在,因此ICS系统也面临来自企业网络和Internet的威胁。表2总结了ICS系统存在的几种网络威胁[1]。

ICS系统的脆弱性工业控制系统的漏洞存在多个方面,如物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等,其中可以造成网络入侵攻击的漏洞主要包括以下一些问题[1,5]。

工业控制系统安全防护设计

近些年,业内提出了深度防御策略[1,6-7]来对一个典型的ICS系统进行网络安全防护,主要包括以下内容:1)为ICS系统实现多层的网络拓扑结构,在最安全和可靠的层执行最严格的通信。2)在企业网络和ICS网络间提供逻辑隔离(即在两个网络间配置状态检测防火墙)。3)配置DMZ网络结构(即阻止企业网络和ICS网络的直接通信)。4)确保关键的部件是冗余的,并且部署在冗余网络上。5)在经过测试能够确保不影响ICS操作的情况下,禁止ICS设备未使用的端口和服务。6)严格限制物理设备接入ICS网络。7)建立基于角色的访问控制规则,根据最小化特权的原则配置每个角色的权力。8)考虑对ICS网络和企业网络的用户采用独立的鉴权机制。9)在技术可行的情况下实现安全控制,如防病毒软件、文件完整性检查软件,以阻止、发现和减少恶意软件的进入和传播。10)在ICS数据的存储和通信中,应用加密等安全技术。11)在现场环境中,必须在测试系统上测试所有的补丁,然后再安装到ICS系统并配置安全的补丁。12)在ICS的重要区域跟踪和监控审计日志。这里认为在ICS的3层网络体系中,应进行多层-多级安全防护。在各层边界部署防火墙以进行有效隔离。其中信息管理层部署商业防火墙,商用IDS、IPS,以过滤、监控、联动处理2-7层网络的攻击;在生产管理层部署面向生产过程控制的工业防火墙,同时对信息管理层的外部用户、第三方的连接需求采用专用VPN设备,在生产管理层部署具有物理隔离功能的单向网闸,通过其单向的数据导入和物理隔离能力保证工业过程的信息流严格可控。此外,在接入区部署防病毒服务器及终端管理系统,并对商用数据库部署审计系统,满足数据管理要求;在管理运维客户端部署运维操作审计系统,满足配置管理要求,强化口令及权限管理;针对PC/服务器的操作系统级漏洞实现有效管理,部署商用漏洞扫描产品;针对采用无线连接的系统,部署无线安全产品。通过上述的多层-多级防护,可以基本满足《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)的要求。

结语

篇10

关键词:vlan;校园网设计

中图分类号:TP393.18

在90年代末期,我国高校逐步建立了校园网。起初,许多院校基本上采用服务器的上网方式,其只能满足规模小的网络,并且不便于管理,极容易导致IP冲突以及广播风爆。虽然交换技术的不断发展,高校又逐渐实现基于VLAN上网方式。它可以有效隔离广播风爆,提高个人用户安全性,又方便用户人员变动,更好的满足用户的需求。这种上网方式也逐步受到高校网络管理人员的亲睐。为了强化网络管理,管理者首先需要对其进行详尽的设计。

1 Vlan技术

VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种通过局域网内的设备从逻辑地划分成一个个网段,以软件方式实现逻辑工作组的划分与管理的技术。这些网段内的机器有着共同的需求,而与物理位置无关。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备;通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的 信息互访。交换机是根据交换机的端口来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。

2 校园网网络结构设计

为了减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。采用了分层结构的校园网解决方案在性能、可靠性、扩展性等方面有无可比拟的优势,在投资保护方面,使得整个网络的性能价格比最优。整个网络的设计,采用vlan技术,逻辑地将物理网络进行划分和管理。而其整体规划、设计需要体现在路由、交换设备上详尽的配置。管理者可通过telnet或web的方式远程可以对网络进行调整,具有较强的灵活性。由于目前思科公司设备的价格不菲,很多高校都采用了价格低廉的华为、中兴交换机接入校园网,来减少经费。以某高校为例,其路由、交换设备多采用华为、H3C,其网络拓扑结构如图1所示。

2.1 核心层网络设计。核心层的主要功能是实现数据包高速交换。核心层是所有流量的最终汇聚点和处理点,它的结构应相对简单,但其性能要求较高,核心交换机一般采用高性能的多层模块化交换机,还要保证高速率的帧转发。在设计策略上一般采用设备冗余和链路冗余设计,以保证网络的QoS和可靠性。避免网络配置的复杂度,因为一旦执行策略出错,将导致整个网络瘫痪。

该校的核心层交换机启用三层功能,对VLAN进行规划,在端口中使用Trunk技术,起到隔离作用,部份VLAN的配置信息如下:

#

interface Vlanif2 //网通出口

description connect-cnc

undo shutdown

ip address 202.102.235.54 255.255.255.252

#

interface Vlanif3 //连接校内服务器组

description server-group

undo shutdown

ip address 202.102.240.80 255.255.255.0

ip address 218.28.87.17 255.255.255.240 sub

#

interface Vlanif99 //管理VLAN

undo shutdown

description guanli

ip address 192.168.100.1 255.255.255.0

#

2.2 汇聚层网络设计。汇聚层的主要功能是汇聚网络流量,屏蔽接入层变化对核心层的影响。对网络主干链路进行流量控制、负载均衡和QoS保证。不同vlan之间的计算机需要通信时,应当在汇聚层进行路由处理。

在该高校校园网中汇聚层交换机采用S6506,汇聚层交换机到每一幢楼采用光纤连接,在该高校校园网拓朴规划中,采用24芯光缆到每一幢楼,每一幢楼的每一层各使用一对光纤到汇聚层的交换机,在汇聚层的交换机端口设置不同的VLAN,给每一个VLAN配置上IP地址,再进行路由,交换机之间的连接采用TRUNK技术,每一层相互之间隔离,不允许相互间访问,汇聚层交换机VLAN的部份配置:

#

vlan 12

description to-8016-g4/0/2

#

vlan 99

description guanli

#

vlan 301

description to-3cun1#

#

interface Vlan-interface301

description to-3cun1#

ip address 59.69.129.1 255.255.255.224

#

interface Ethernet3/0/1

description to 3cun1#

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 99 301

port trunk pvid vlan 301

broadcast-suppression 10

#

2.3 接入层网络设计。接入层处理网络边缘,接入节点一般距离网络管理中心较远,而且节点分散,数量众多,接入设备良好的可管理性将大大降低网络运营成本,必须选用可网管的交换机,交换机应提供Web 、Telnet等多种管理方式。如果交换机具有远程监控功能,就可实时进行网络信息收集,有效进行故障定位。

在该高校的接入层采用华为2403H/E026/E126交换机,接入层交换机到汇聚层交换机之间采用TRUNK连接,为了方便管理,给每个交换机配置管理VLAN,可以进行远程管理,接入层交换机VLAN的配置信息如下所示:

#

vlan 99

description guanli

#

vlan 515

#

management-vlan 99

#

interface Vlan-interface99

ip address 192.168.100.119 255.255.255.0

description guanli

#

interface Ethernet1/0/2

broadcast-suppression 10

port access vlan 515

#

3 总结

基于vlan技术的网络设计在分层结构下,层次分明,便于扩展、移动,具有较强的灵活性。实践证明,设计方案是有可行的,强化了网络管理,有效控制网络流量,抑止广播风爆,提高了网络的安全性。

参考文献:

[1]易建勋,姜腊林,史长琼.计算机网络设计[M].北京:人民邮电出版社,2011.

[2]楚书来,刘若华.vlan技术在校园网建设中的应用研究[J].电脑知识与技术,2011(2).

[3]陈凯,胡鹏.vlan技术在校园网维护管理中的应用[J].电脑知识与技术,2009(4).

[4]王魏.交换机在划分校园vlan中的应用[J].北京工业职业技术学院,2005(7).