网络安全运营方案范文

时间:2024-03-21 11:23:14

导语:如何才能写好一篇网络安全运营方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全运营方案

篇1

整体而言,云计算的特点主要体现在以下几个方面:

1.1用户计算的分布性

云计算技术是以无数台工业标准服务器所组成的数据中心为载体的,从而实现了云计算技术在互联网中的应用运作。尽管现阶段云计算的理论还相对稚嫩,但是云应用已经开始出现,并且在一定范围内可以预见,云计算技术在网络应用中的地位将越来越重要。基于云计算的应用而言,云计算技术的名称本身就将其特点形象的表达出来:云其实是比喻呈网状分布的计算机结构,也说明了云计算技术的工作方式,即隐藏数据的计算过程,服务器根据用户的实际需要,由大云中找出对应的小云。此处的云并非单纯的指汇集计算机资源,由于其在汇集资源的同时还提供对这些资源进行管理的机制,这也是云计算技术与传统的计算方式最大的区别。此处的技术原理包括了资源的提供、变更请求、工作负载的重新平衡、重新映像以及资源监测与资源解除提供等。

1.2服务的广泛性

计算机技术带动了社会、经济发展的变革,现代社会中的IT技术越来越普及,各计算用户所涉及到的数据也越来越庞大,相应的管理成本也水涨船高,其包括资料的归档、查询及备份等各项繁杂、冗余的工作。而云计算技术的作用就是将文档管理、实时通讯及会议电话等各方面内容包含在内,或许由单一功能而言,云计算技术的创新性并不突出,但是由其在管理方面的集中及在应用方面超越时间及空间的优越性而言,可以说是很多企业信息化管理均能够借鉴的方案和理念。

1.3用户端的设备成本投入少

因为云计算技术模式中,很多计算和存储的工作都是通过网络来实现的,而用户端可以极致的简化为一个浏览器,即云计算机,与传统的PC机比较而言,其功耗低、成本低,用户操作方便,易于维护,用户甚至无需自己装操作系统及杀毒软件,也省去了防火墙的设置及持续性的升级维护。因此,从这个角度来看,云计算技术相对适用于普通的办公用户。

1.4关于云计算安全性的问题

尽管云计算技术拥有上述诸多优点,但是在其应用越来越广泛的同是,自其所存在的安全隐患也会随之不断的暴露出来。可以由两个方面考虑这个问题,其一是云计算技术本身的安全隐患,其二就是利用云计算技术在为客户进行具体应用的服务时所存在的安全隐患,其涉及的范围比较广,例如访问管理权限、数据的位置、数据的隔离与恢复、第三方审计和法律法规等等。因为以现在的技术水平还无法完全解决这类问题,因此云计算技术的众多优势还无法得到充分发挥。

2.云计算技术在信息网络安全防护系统中的应用

2.1保证系统的高可靠性

可以将集群的思路及相关技术应用于集中系统的各服务器群中,以保证系统服务的持续性,提高服务器群的可靠性。具体实现步骤如下:第一,先将一个集群网络分为TCP/IP及非TCP/IP两种网络,其中客户端与服务器之间相互通信、该问的公共网络即为TCP/IP网络,集群软件私有网络则为非TCP/IP网络。集群技术通过私有网络监控其各节点,从而取代TCP/IP的通讯路径。第二,在同一集群网络中,各节点中的TCP/IP网络以及非TCP/IP网络会持续的发送、接收KEEP-ALIVE消息,如果某个节点所持续发送的数据包丢失,就可以认定对方节点出现了问题。如果某个节点的主用网卡出现问题,其所对应的集群就会切换网卡,把最初的service adapter的IP地址向新的standby adapte上转移,再将standby直址向故障网卡转移,并进行网络其它节点的ARP的刷新,从而实现网卡的可靠性保证。第三,如果网络中的K-A全部丢失,则cluster就会做出该节点出现问题的判断,并进行资源接管,把共享磁盘中的资源转交由备份节点进行接管;并且发生IP地址接管和应用接管。通过上述操作步骤,可以保证服务器系统中某台设备出现问题后,或者整体出现问题后,仍然可以对外提供连续服务。

2.2提高系统的扩展性

系统的应用需求不断提高,数据增长的速度也越来越快,不管磁盘阵列如何配置,最终都要出现硬件本身扩展性达极限状态的问题。所以云计算技术中虚拟存储的理念恰恰可以提高系统的动态扩容能力,其将各种品牌的存储设备集中到一个资源池,从而改变存储系统数据移动无需再中断业务,真正实现了对不同存储系统的统一管理。而存储设备的虚拟化技术可以基于不同的角度来考虑,比如主机级虚拟化或者存储子系统级虚拟化,或者网络级虚拟化等等。相对而言,现阶段网络级虚拟化与真正意义的存储虚拟化更为接近,其把存储于网络的不同品牌的存储子系统加以整合,使之成为一个或者多个存储池,对其进行集中管理。

2.3提高系统的性能

篇2

国内外网络安全产品和解决方案提供商,如思科、华为赛门铁克、IBM、绿盟科技等,致力于为电信运营商提供电信网络安全解决方案,它们的产品也越来越多地应用到电信的运营支撑系统中,成为电信网络安全的“好管家”。

思科:PIX防火墙

作为领先的网络安全产品提供商,思科提供的产品包括防火墙、入侵检测系统、安全管理系统等等。其中,思科PIX防火墙系列能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过思科PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。

编辑点评:目前国内政府、电信、金融等各类企业面临着众多复杂Web应用安全问题,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用、网页篡改等。防火墙的出现让这些安全问题在很大程度上得到缓解。不过,目前现有的解决方案如运行在应用层的基于的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身就具有安全风险等。而由思科生产的PIX防火墙系列突破这些限制条件,大大地提高了安全防护能力,为电信运营商的网络安全提供强有力的支持。

华为赛门铁克:SecowayUSG5000

USG5000防火墙是华为赛门铁克面向大中型企业以及电信运营网推出的统一安全网关设备,该产品除了提供命令行方式外,还提供了图形化用户界面。USG5000为1U标准机箱,带Console口,有4对固定的以太网光电互斥GE口,2个USB2.0接口,并为用户提供了2个扩展插槽,可安装4FE或2GE光电互斥接口模块。机箱还装有两个交流或直流电源模块,可实现双路供电及电源的冗余备份,支持热插拔。USG5000采用集成的软件和硬件平台,采用了专有的、实时的操作系统,可灵活划分安全区域,当数据在分属于两个不同安全级别的接口之间流动的时候,会激活USG5000的安全规则检查功能。

编辑点评:华为作为领先的电信行业解决方案提供者,赛门铁克作为存储和安全产品生产商,两者的结合致力于为电信运营商提供更可靠的网络安全产品和解决方案。USG5000支持HRP协议,备份关键配置命令和会话表状态信息,在主设备出现故障时由备用设备平滑接替工作,在最大程度上确保了运营商的网络系统安全。而近日华为赛门铁克推出的USG6000防火墙产品更是将安全级别提高了一个层次,关注NAT、DDoS攻击,另外还是一款绿色产品。

IBM:IBMISS防入侵系统

IBMISS防入侵系统通过IBMISSX-Force调查和开发组收集的最新弱点和威胁信息提供支持。拥有全面的解决方案,可以满足企业用户的多种需求。而且IBM提供的防入侵解决方案可以通过软件和产品以及托管服务的形式提供,帮助企业用户识别对网络、桌面、服务器以及消息接发系统的威胁。IBMISS的Proventia网络入侵防护系统(NIPS)产品,可以在互联网攻击影响到企业网络之前提供前瞻性的安全防护。Proventia网络入侵防护系统可以透明接入并以线速拦截入侵尝试,拒绝服务(DoS)攻击,恶意代码传播、后门活动和基于网络的混合威胁,而并不会影响网络性能,也不需要重新配置网络。

编辑点评:IBMISS解决方案以IBMX-Force研发组为后盾,他们拥有丰富的安全知识,是全球实力最强大的企业网络弱点和威胁研究机构。通过来自IBMISS的防入侵产品对企业用户的网络、服务器和桌面架构进行保护,免受入侵影响,推出的系列产品旨在阻止恶意数据传输对企业用户网络造成的影响。防入侵解决方案性能更卓越,能够为用户提供前瞻性的保护,具有更高的可用性,部署和管理也很简单。

绿盟科技:冰之眼网络入侵检测系统

冰之眼网络入侵检测系统(ICEYENetworkIntrusionDetectionSystem)是对防火墙的有效补充,实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。冰之眼网络入侵检测系统具有三大功能:入侵检测:对黑客攻击、蠕虫病毒、木马后门等行为进行实时检测及报警,并通过与防火墙联动、TCPKiller、发送邮件、控制台显示等方式进行动态防护;行为监控:对网络流量进行监控,对P2P下载、IM即时通信等严重滥用网络资源的事件提供告警和记录;流量分析:对网络进行流量分析,实时统计出当前网络中的各种报文流量。

编辑点评:伴随着网络的发展,也产生了各种各样的安全问题,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDoS攻击越来越常见,黑客攻击行为几乎每时每刻都在发生。如何及时地、准确地发现违反安全策略的事件,并及时处理,是广大企业用户迫切需要解决的问题。冰之眼网络入侵检测系统是绿盟科技自主知识产权的安全产品,包括从百兆到千兆处理性能的ICEYE-200D/600D/1200D/1600D四种型号,可以满足从中小企业到大型企业和电信运营商的各种组网需求,为他们的系统安全提供强大支持。

趋势科技:NetworkVirusWallEnforcer2500

篇3

【关键词】企业网络 深度防御 安全管理

信息技术快速发展,计算机网络的应用日益广泛,企业的生产和管理越来越依赖于网络。但是,网络本身所具有的一些比如联结性、开放性等属性,导致其难以彻底避免一些恶意行为的攻击。一方面给企业带来巨大的利益损失,另一方面也影响了企业正常生产办公。因此,怎样提升企业网络的可靠性,逐步受到企业管理者的重视。

一、企业网络系统的安全现状

随着企业信息化管理的发展,企业的网络规模也在持续增加,随之增大的是企业网络的信息安全风险。由于企业在网络建设方面的投入,新的信息终端和交换设备不断增加,因此其内部网络所受安全事件的威胁的几率也在随时增大,大型的企业往往具有不少的分支机构,造成了网络设备分布的地理位置比较分散,网内计算机安全问题亟待解决,这是所有大型企业必须面对的问题。所以,企业必须构建一套信息安全管理软件,才能实时监控网络内部的各终端设备,使之受到尽可能小的安全威胁。此外,无论是核心网络还是分支部门的网络,都必须定期进行统一的补丁分发与移动存储管理,以保障基本的信息安全。

二、企业网络安全实现的目标

结合现阶段企业内部网络的安全现状,企业网络安全需实现的目标至少包括:严密监视来自业务支撑网外部的各种类型访问,必须掌握每一次访问的来源、所读取的具体对象和访问的具体类型,一方面支持合法访问,另一方面杜绝非法访问;对异常访问能够做到预防和处理;对流经支撑网内的所有数据包进行有效监控,实时分析这些数据包的协议类型、目的地等,从而防止信息安全隐患。有效监控的内容有:对网络中的黑客入侵行为进行检测;对各种主机设备的数据流量进行实时分析,实现信息安全的动态防护;结合具体的标准和方法对企业内部网络信息安全进行周期性评估,及时补救网络安全弱点,排查安全隐患。

三、企业网络安全系统的设计及实现

(一)安全规则层的设计

在这一层次中,为了保证企业内部运营中的网络资源及客户机的安全,首先结合企业实际情况,定义一系列规则,当发生违反这些规则的网络行为时,则触发系统的风险应急机制。在制定规则时,对每一类网络行为对企业信息安全造成的风险归纳为不同的等级。制定这些等级的一句是该企业运营对这些信息在机密性、可用性、完整性及不可抵赖性的具体要求。在所指定的等级之下对企业信息安全造成威胁的行为进行分类。

与此同时,对攻击所带来的风险进行等级划分,依次划分为低级风险、中级风险与高级风险。所谓低风险,指的是网络系统遭受入侵之后,并不会造成任何资金流失,也不会扰乱运营管理。所谓中级风险,指的是网络系统遭受入侵之后,会造成轻度资金流失,在一定程度上扰乱运营管理。所谓高级风险,指的是网络系统遭受入侵之后,会造成比较明显的资金流失,极大程度地扰乱运营管理。

(二)安全措施层的设计

在这一层次中,主要设定在网络安全之下所具体选用的安全技术与采纳的实施方法,结合企业信息系统的安全目标,结合安全规则层所指定的安全事件和安全等级,给出有针对性的解决方案。安全措施层对于一种类型的安全行为可以给出多个安全方案,举例来讲,在发现有用户进行非法授权的访问操作时,一个可能是由于遭受了网络攻击,另一个可能则是用户的误操作。此时可以采取的方案包括对用户发出警告、阻止连接和强制关闭主机等。

(三)安全决策层的设计

在这一层次中,主要任务是结合具体的方案来解决信息系统安全问题。依旧延续安全措施层的实例,当用户的非法授权访问时首次发生的,则方案(1)对用户发出警告则可以解决;而假若该用户反复进行非法访问,则方案(3)强制关闭主机效果最好。

四、企业网络安全解决方案实例

本文选择安全防御系统中相对重要的功能模块--重定向模块,并阐述其具体设计方法。企业网络在遭受外界攻击时,首先丢失的是被黑客扫描窃取的内部主机的操作系统、服务、端口等信息。在获取这些信息之后,便会通过缓冲溢出或者蠕虫等方法找到主机本身所存在的安全漏洞,对主机系统进行操纵。本文引入蜜罐技术,所设计的重定向模块的主要功能便是在攻击发生的初期,快速隔断为企业网络带来安全威胁的连接。具体实现方法为,该模块首先在网络驱动接口规范中间层进行数据过滤,获取从外部流进企业内网主机的数据包,针对具体类型的端口,以网络主机事先所维护的可疑端口表,对这些数据包进行过滤,一旦找到对可疑端口进行访问的数据包,则将其判定为一次可疑访问,此时,修改该数据包的相关参数和属性,同时,把此次访问列为可疑访问,并引导进通信队列之中,这些数据包直接越过系统的上层协议,转发至蜜罐来继续跟踪和分析。以相同的方法将蜜网所反馈的数据处理后发送给可能的攻击者。

为了使蜜罐系统能够有更加逼真的模拟效果,本设计在蜜罐系统上完全仿照实际网络系统的主机而部署相同的OS、协议栈、以及相关服务,从而在最大限度上使蜜罐与实际系统中的客户机或服务器相类似。具体的操作为,启动蜜罐设置系统,进入蜜罐的配置菜单。

在进行配置的时候,使用蜜罐系统所提供的menu命令进入界面,结合企业网络的实际特征,本文所配置的内容有:管理机IP、蜜罐IP、TCP连接以及Secure Shell管理连接等。然后在蜜罐系统对客户机进行模拟,并配置诸如办公软件等常用软件,对服务器进行模拟,开通各类网络应用服务,从而基于典型服务端口来对多个可以访问进行引诱。同时,出于进一步迷惑网络攻击者的目的,还要设置成允许网络攻击者进行更多的操作,而蜜罐系统中并未存储企业真正的数据与信息。在对具体连接方式进行设置的时候,通过custom使之能够链接vmnet2,并通过蜜罐系统抵达外网。在安装Sebek时,考虑到其Linux版本与Windows版本,分别进行不同安装文件的配置。

总之,企业在日常的信息化管理中,必须通过合理有效的安全措施,来避免由于网络安全而带来的不必要经济损失。

篇4

[关键词]中国电信IMS 网络运维 综合能力 提升对策

中图分类号:TN919.8 文献标识码:A 文章编号:1009-914X(2015)13-0306-01

随着网络融合的深入推进,中国电信未来将拥有庞大复杂的IMS融合网络。当前IMS网络发展机遇与挑战并存,鉴于IMS与传统网络的巨大差异性,中国电信运营商应充分认清当前IMS网络运营问题和挑战,以便有的放矢地加以应对,更好地促进IMS网络运维能力、运营水平的整体提升。

一、中国电信IMS网络运营面临的问题

1.IMS技术层面问题

从IMS技术层面来看,IMS网络彻底IP化内核的技术特征,会增加网络和业务的运营风险与维护难度,给网络运营带来更大挑战。IMS技术对运营挑战主要包括以下方面:第一,IMS网络架构较软交换而言更复杂,运营难度增加。IMS网络涉及多个专业设备,且设备种类更多、网元间接口更复杂,如增加了IMS-SIP Diameter等协议,为故障定位、服务质量保障带来挑战。第二,IMS是基于全IP网内核的网络技术,带来新挑战。IMS网络实现了端到端信令与媒体全面扁平化,即除了媒体流实现扁平化外, 网元间通过域名查找DNS做到端到端无连接状态的信令路由寻址,这种动念寻址链路较传统静态链而言, 更完美, 但也带来互通、安全、维护等风险,对网络方案提出更高的技术要求。第三,IMS网元容量大,接入客户类更多,设备故障对业务影响更大,这就要求故障发现更快,切换更快,但技术、设备代价也更大,因此对网络容灾安仝技术提出更高要求。第四,智能终端风暴的挑战。终端智能化、多元化、个性化趋势加快,各类软硬终端、智能手机层出不穷,由于IMS支持终端漫游,接入方式多样化,如 EV-DO、Wi-Fi、ADSL及PON等,网络接入互通兼容性问题比较突出,故障定位难度加大,若终端通过非信任域IP接入也给核心网络引入一定风险,因此,对网络安全、运维能力提出新要求。第五,端到端的QoS服务能力不足。目前虽有规范,但技术还不够成熟,端到端QoS保证体系不完善,宽带业务和窄带业务在资费模式、业务模式,甚至商业模式上都有所不同,为新型宽带业务的运营带来挑战。

2.IMS网络层面问题

IMS网络运营时,在IMS应用模式、网络业务实现方案、技术规范方面尚待研究和优化; 在运行质量指标、网络互通、业务实现、可靠性、接入维护、 管理能力、支撑系统、维护队伍建设方面带来挑战。日前影响IMS网络运行质量的原因主要包括以下方面:一是IMS技术在网络组织、应用方案、运维功能上还需要通过运营不断验证、优化完善;网络运行质量指标体系有待研究建立与试验,目前部分统计能力还不具备,尤其是端对端的业务质量评估指标,为网络质革优化带来挑战;统一接入及新型智能终端带来新的维护能力需求、方式的挑战。二是网络跨网络、跨机型、跨域、跨平台的互通能力与稳定性有待提升,对网络服务质量带来影响;跨网络体制的融合业务实现方案有待研究优化,对业务开放带来挑战;设备网管系统能力有待规范统一,维护能力有待提升。三是配套支撑系统有待升级改造支持与IMS网络衔接,可能会影响业务受理、开放;维护队伍IMS维护技能与维护经验不足的挑战。

3.IMS安全运营层面问题

IMS安全运营是网络运营的重要基础。目前IMS组网方式、安全机制还不完善,例如,存在较多薄弱安全风险,S-CSCF间缺少容灾倒回能力,S-CSCF负荷均衡机制欠缺,网络中断SIP用户恢复耗时长,且依赖终端重注册,IMS还不具备对业务平台、DNS或关键网元的Bypass功能,用户账号密码存系统没加密,维护手段不足等。因此,需要提出IMS可靠性提升关键技术和运维管理手段措施,形成相关规范和指导方案,这就对运维监控、防瘫、应急维护能力提出更高要求。

二、中国电信IMS网络运维综合能力提升对策

1.IMS网络集约化运营能力的提升策略

目前中国电信IMS网络运营刚开始,急需尽早建立合理、规范的集约化运营体制,提升高效运营能力。具体包括:

(1)加强集约化运维体制的建设。通过有序推进IMS集约化运营试点工作,不断完善相关维护制度、维护方式,明确维护职责和分界面,研究形成测试规范、运行质量指标、日常维护计划、数据配置规范、应急预案等满足常规运营需要。

(2)强化集约化维护管理。对厂商统一网管能力提升,针对设备种类多的问题,需要制定相应网管规范,将配套数通设备、IT设备纳入厂商网管统一管理,同时实现标准化北向接口与综合网管系统的对接;系统性推进配套支撑系统与IMS衔接的改造升级,包括综合网管系统、信令监测系统、10000申诉处理系统、计费系统、业务受理支撑系统等。

(3) 实现IMS网络与业务的统一。针对融合业务实现复杂的问题,要形成统一解决方案、配置方案;鉴于网络互通的复杂性,研究制定规范和指导原则,加强网络联调、业务互通、贯穿测试,在上线前尽量消除主要问题隐患。

(4)增强网络运维技术手段。如针对终端的深度分析管理平台、IP网业务流监测系统、业务质量自动拨测系统及时发现问题,控制影响范同,及早消除故障。

(5)规范集约化故障处理流程。对跨专业、跨网络、跨域、漫游时故障要及时发现、快速定位和应急疏通要求更高,应重视做好日常定时拨测、安全防护、例行维护、应急预案等。

(6)加强维护专家队伍建设,除了熟练掌握IMS等融合核心网络维护技术和经验技巧外,还应提升在IP网络、综合接入、新流程和融合网络业务等方面维护技能和经验。

2.IMS网络安全性与可靠性的提升策略

IMS网络安全性及可靠性的提升,可从组网建设、网络技术、维护管理等方面加以综合考虑。

(1) IMS容灾组网技术方案。组网时应根据IMS安全的薄弱环节,对核心网元的安全等级进行划分,对HSS、S/I/P-CSCF、DNS等重要性最高的A类网元选择Pool或1+1互备等组网方式,支持容灾数据实时或准实时同步;对MGCF、AGCF和大型BAC等B类网元采用双归属或负荷分担方式组网;域内采用有心跳检测的静态链路,当域内网元出现故障时,可快速告警和路由切换;域间通过软交换网、传统长途网做好动态链路失效的迂回保护。

(2)IMS快速旁路Bypass应急恢复技术。针对A类网元瘫痪,研究试验DNS Bypass、 AS Bypass、HSS Bypass、CCF Bypass机制和维护规范,使得网元瘫痪后业务不受影响或影响最小,另外还应提升维护人员网络防瘫、应急恢复能力和维护水平。

(3)IP安全防护与漏洞封堵。针对业务开放与IP化系统的安全漏洞问题,应通过安全扫描等手段,发现和封堵系统漏洞,服务端口最小化;在网络边缘层配置防火墙功能阻隔非信任区域的风险。

(4)用户信息安全加密技术。账号密码等用户关键信息录入、传送、存储、维护全流程采用加密算法进行加密。

总之,IMS网络作为未来统一核心网络,其运营质量问题将关系整个电信网络、业务运营的质量,应引起足够重视,并充分研究IMS网络运营的关键问题,提出解决对策,实现IMS网络规范、高效、安全的运营目标。

参考文献

篇5

关键词:NGN;网络;安全

中图分类号:TN915.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01

Analysis of NGN Network Security Solutions

Xu Wentian

(China Tietong,Guangxi Branch,Nanning 530003,China)

Abstract:NGN network with the Internet,as inevitably will be hackers or virus attacks or interference,how to solve network security problems can ensure reliable operation of NGN network key.In this paper,a simple common network security through the implementation of technology,the NGN network to solve security problems.

Keywords:NGN;Network;Security

一、引言

正如Internet一样,NGN网络所依托的数据网的开放性和公用性,不可避免地会受到黑客或病毒程序的攻击或干扰,因此NGN也面临着安全问题,如用户仿冒、盗打、破坏服务、抢占资源等。为此NGN网络必须从接入层保证用户的隔离、可管理等基本措施,防范常见的攻击手段,如地址仿冒、抢占资源。

二、NGN网络安全方案概述

NGN网络是一个可运营、可管理的网络,必然需要解决网络安全问题才可以保证网络的可靠运营。要解决网络的安全问题,最好先考察一下目前存在网络安全问题的根源,从消除这些完全问题的根源入手来达到彻底解决安全问题的目的。从目前的Internet网络安全的分析,我们知道Internet是一个不安全的网络,Internet的自由开放是造成Internet安全问题的重要因素。因此要保证所构建的NGN是安全的,就必须改变这种自由、开放的管理模式加强对用户接入的管理。通过对现有网络安全的研究,我们也可以发现在网络接入方面的自由开放是造成网络安全隐患的重要根源,同样是分组技术,Internet网络就存在重大的安全隐患,而X.25等网络就能够提供比较高的安全性,因此有必要在NGN接入层对用户接入和业务使用进行严格的控制,用户必须经过严格的鉴权和认证才可以接入NGN网络,用户的业务使用也必须经过严格的鉴权和认证,网络可以根据用户的业务权限控制用户的接入带宽。当NGN网络的接入用户受控之后,在用户侧就可以基本消除安全的隐患,这时NGN网络可能存在的安全隐患主要来自NGN网络内部,一方面在运营商内部发生网络安全问题的可能性比较小,另一方面这时可以通过实施通用网络安全技术,如在网络设备前置防火墙、攻击检测等防护设备,对网络设备访问权限进行控制和做好操作安全日志等手段解决可能发生的安全隐患。

(一)对NGN用户接入和业务接入的控制

因为NGN网络用户是NGN网络安全隐患的重要源头,在NGN接入网络侧对NGN用户接入和业务接入实施严格的控制是保证NGN网络安全的重要一环。在NGN接入网主要采用用户身份验证、业务鉴权和访问控制等手段来实现对用户接入和业务接入的控制。

对用户接入和业务接入的控制主要涉及到NGN网络系统中的三类网络实体:宽带接入服务器和宽带接入路由器作为用户访问NGN的PoP点,负责对用户进行接入认证、访问控制、接入带宽控制和业务报文的过滤,是NGN实施对用户接入控制的关口点;软交换和应用服务器和网关等是NGN网络业务提供设备,他们负责向用户进行业务权限鉴权和提供各种业务;策略服务器负责用户的安全、QoS与业务方面的策略控制,它还是业务层面与承载层面的桥梁,把来自业务层面的控制策略下发到承载层接入PoP点,如宽带接入服务器来实施策略控制。

1.用户身份验证。对用户身份进行认证的目的,一方面是避免非法用户访问NGN网络,另一方面是确认用户的身份,对用户的访问进行日志记录,即使出现网络安全问题也可以进行事后的审计和追踪,使网络破坏者无处可逃。

2.业务鉴权。用户接入NGN网络之后在使用业务之前必须经过业务认证,这样可以保证NGN上提供的业务不会被非法使用,运营商也可以根据用户使用的具体业务分别进行计费和为用户设定不同的访问权限和带宽需求。

3.访问控制。宽带接入服务器和宽带路由器是NGN接入的POP点,这个点是实施QoS与安全策略控制的关口,在这个关口上完成对用户的带宽限定、ACL访问权限设置、业务流量的报文过滤等功能。访问控制的实现采用动态QoS与安全策略控制技术,动态地根据用户当前的业务权限进行相应的QoS与安全控制,避免了用户对NGN网络的非法访问。

(二)构建与其它网络隔离的虚拟NGN业务网

1.城域网。对于建立IP城域网的运营商,可以通过FTTB+LAN、ADSL、专线(DDN)、HFC来接入用户的多种业务(语音、视频、数据),可以采用物理或逻辑接口(VLAN/PVC/DLCI)来隔离NGN业务和原有的数据业务,由城域网骨干/汇聚层将接入层不同的业务通过PE映射到骨干层中的MPLS VPN中或者通过策略路由器将不同的业务分流到对应业务网的路由器。

2.NGN用户接入网。NGN用户可以通过多种不同的接入方式接入到NGN网络,如通过AMG利用双绞线接入NGN,智能终端和IAD可以通过以太网、ADSL、HFC、专线等方式接入NGN。在NGN用户接入网络侧可以根据实际的网络接入方式和网络的实际情况采用某种接入网隔离技术把NGN业务与其它业务在接入网侧进行隔离。

(三)NGN网络内部的安全措施

通过对NGN虚拟业务网的隔离以及接入层对用户接入和业务使用的控制,可以基本消除来自其它网络和NGN用户方面的安全隐患,这时的安全隐患主要在NGN网络内部,虽然NGN网络内部属于运营商内部网络相对来说发生安全问题的可能性比较小,但还是有必要采取安全手段来保证NGN内部网络的安全。

软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备,因此要求软交换、网关、服务器等核心网络设备应具备数据网中主机设备所具有的安全规格,可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。

篇6

[关键词]课程思政;信息安全;教学方法

现阶段专业课程融入思想政治教育存在的问题

1.思政教育与专业教育之间存在“两张皮”的现象在国家教育改革的引领下,专业课教师积极促进课程思政入课堂,但由于有的教师刻意地加入相关内容,为了思政而思政,造成了思政教育与专业教育“两张皮”的现象,内容的过度生硬,一定程度上影响了学生对思政内容的接受。因此,高校应研究如何将思政教育与专业教育之间由“两层皮”向“一盘棋”转化,以真正达到育人效果。2.思政教育与专业教育的融合比较随机当前,各科教师在融入思政元素的过程中存在较强的随机性,多是依靠专业课程教师自我发掘与发挥,这就有可能导致思政内容重复,甚至会引起学生的反感。对此,高校应从整体专业规划出发,针对每门课的特点确定课程思政的育人目标,以及思政元素的融入方式,使其形成课程体系的一部分。

专业课程与课程思政协同改革

1.紧扣毕业要求,明确教学目标与育人目标在传统的人才培养方案中,重点在于知识目标和能力目标的定位,为了提升学生的综合素养,高校应结合毕业要求,以课程教学大纲为抓手,明确并落实课程育人目标。以信息安全这门课为例,可通过理论教学与实验环节,使学生具备密码学、计算机系统安全、网络攻击技术与防御基础、病毒分析与防范、防火墙技术与VPN、安全扫描与入侵检测等计算机网络信息安全方面的基本理论知识、技能及综合应用,同时,培养学生独立思考、勇于创新的能力。在确定育人目标时,应让学生通过熟悉信息安全领域的国家方针、政策、法律、法规,追求科学真理,牢固树立热爱祖国、“信息安全技术的发展与应用不能损害国家和合法个人的利益”的理念,明确合法行为与非法行为的界限,理解诚实、公正、诚信的职业操守和职业规范,并在实际生活、学习与工作中自觉遵守。另外,还要面向国际科学应用前沿、国家重大需求及经济主战场,将前沿科技渗透到课程实践中,教育学生努力学习,破解“卡脖子”难题。2.坚持问题导向,改革教学方法信息安全主要采用理论教学、课堂讨论和上机实验相结合的教学方式,注重启发式教学,以问题为导向,引导学生独立设计信息安全框架,逐步培养他们分析问题、解决问题、勇于创新的能力。在课堂教学中,教师要加强与学生的互动交流,指引学生开展团队协作和课堂讨论,并及时分析、评价学生的讨论结果。另外,要从课程内容、实验环节、互动交流、分组讨论中进行专业课程的思政教学体系设计,促使学生产生学习内动力。

具体案例研究

将课程的教学目标及育人目标,深入渗透到教学大纲的具体内容中,使专业课程内容与思政元素有效融合。以信息安全课程为例,本课程的教学目标是掌握计算机网络信息安全方面的基本知识,了解设计和维护网络信息安全的基本手段和常用方法,能够利用理论知识解决生活中的实际问题。思政育人目标是培养出能够肩负历史使命,勇担强国重任,坚持面向世界科技前沿、面向国家重大需求、面向经济主战场,不断向科学技术广度和深度进军的高端信息安全人才。

思政育人案例

1教学内容:第一章,信息安全概述教学目的与要求:了解信息安全面临的主要威胁、信息安全的基本概念、信息安全的发展方向,掌握信息安全的主要技术及解决方案。思政元素切入点:针对美国政府在拿不出任何真凭实据的情况下,泛化国家安全概念,滥用国家力量,以列入实体清单、技术封锁、投资设障等手段,加大对中国企业的打压力度,让中国在芯片领域面临较为被动的局面。针对这一案例,要明确信息安全的真实含义,牢固树立“信息安全技术的发展与应用不能损害国家和合法个人的利益”的理念,强调中国人的命运一定要掌握在自己手里,绝对不容许被任何势力“卡脖子”。育人目标:面向国家重大需求,培养新一代科技人才,使其能潜心关键领域的基础研究与关键技术的开发;引导青年学生发挥“两弹一星”的艰苦创业精神,为国家培养彻底解决“卡脖子”问题的技术人才;学生要树立正确的家国意识与主人翁意识,将个人的聪明才智和未来发展与国家需求相结合。实施过程:(1)教师授课。讲授信息安全面临的主要威胁、信息安全的基本概念、信息安全的解决方案、信息安全的主要技术、信息安全的发展方向等,从中穿插思政元素。(2)师生研讨。学生针对信息安全的案例分组展开研讨,每组委派一名学生进行总结发言;教师和学生进行点评,在整个研讨过程中形成良好的思政氛围。(3)课后拓展。教师可适当给学生提供与国家战略相关的新闻报道和重大成果视频,增强思政权威性,引发学生思考。思政育人案例2教学内容:第二章,密码技术基础与公钥基础设施教学目的与要求:掌握密码学基本概念、了解传统密码技术,掌握公钥密码技术、公钥基础设施。思政元素切入点:对传统密码技术及公钥密码技术进行阐述,引入量子技术的快速发展对已有密码学方案的冲击。在量子计算模型下,经典数论密码体系受到了极大的冲击,如何在量子时代保障数据安全成为一个亟待解决的问题。Regev提出基于格的密码体系可以抵抗这种量子算法的攻击。格密码作为备受关注的抗量子密码体制,吸引了研究人员的目光。格自身有完整的理论体系,相较于其他密码体制有独特的优势:困难问题存在从一般情况到最坏情况的规约,具有较高的算法效率和并行性等。通过知识拓展,引导学生从基于格困难问题的密码体制设计进行思考、探索,培养学生的工匠精神、钻研精神。育人目标:让学生通过了解传统密码技术及公钥密码技术,知晓量子技术的发展对已有技术的冲击,引导其发挥工匠精神及钻研精神,勇于探索行业难题。实施过程:(1)教师授课。讲授密码学数学基础、密码学基本概念、对称密码技术、公钥基础设施等知识,从中穿插思政元素。(2)师生研讨。针对“我们是否可以在标准模型下构造一个抗量子攻击的基于位置的服务方案?这样的方案是否可以做到避免密钥滥用?”这两个问题进行探讨,引导学生思考,培养学生的工匠精神,提升其思考问题、分析问题的能力。(3)课后拓展。课后对量子算法技术进行更深一步的研究,了解两字算法技术的发展对现有技术的推动,并引入相关思政素材,增强思政权威性,引发学生思考及探索。思政育人案例3教学内容:第四章,网络攻击技术与防御基础教学目的与要求:了解黑客的概念及黑客的攻击模式,掌握网络攻击的技术与原理、网络攻击工具、攻击防范。思政元素切入点:2014年3月22日,国内漏洞研究平台曝光称,携程系统开启了用户支付服务接口的调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,包括信用卡用户的身份证、卡号、CVV码等信息均可能被黑客任意窃取,导致大量用户银行卡信息泄露,该漏洞引发了关于“电商网站存储用户信息,并存在泄露风险”等问题的热议。针对携程漏洞事件,教师引导学生熟知《中华人民共和国网络安全法》(以下简称《网络安全法》)要求网络运营者对网络安全运营负有责任,对产品的漏洞及时补救,怠于履行法律义务,导致个人信息泄露的,将面临最高五十万元的罚款,如果是关键信息基础设施的运营者将面临最高一百万元的罚款。2014年12月25日,第三方漏洞研究平台发现大量12306用户数据在互联网流传,内容包含用户账户、明文密码、身份证号码、手机号码等,这次事件是黑客通过收集其他网站泄露的用户名和密码,通过撞库的方式利用12306网站安全机制的缺失来获取13万多条用户数据。针对12306用户数据泄露事件,引导学生熟知关键信息基础设施的网络运营者不仅有一般网络运营者应该履行的网络安全等级保护义务,还有更高层次的网络安全保护义务,如对重要系统和数据库进行容灾备份,制定网络安全应急预案并定期进行演练等。关键信息基础设施运营者若没有每年进行一次安全检测评估,拒不改正或导致网络安全严重后果的,将面临最高一百万元的罚款,对直接负责的主管人员处一万至十万元以下的罚款。育人目标:通过“教、学、做”一体化的教学模式,一方面向学生介绍网络攻击的相关知识;另一方面结合具体案例自然融入《网络安全法》的知识,引导学生正确运用网络安全和防御技术,严格规范自己的网络行为,维护好个人、企业、组织、国家的信息安全,积极构建网络安全。实施过程:(1)教师授课。讲授关于黑客、网络攻击技术与原理、网络攻击工具、网络攻击防范等知识,从中穿插思政元素。(2)师生研讨。学生针对《网络安全法》的案例分组展开研讨,研讨之后,每组委派一名学生进行总结发言;教师和学生点评,拓展学生的知识面,在整个研讨过程中让学生构建网络安全意识。(3)课后拓展。课后可适当给学生提供《网络安全法》的相关报道视频,增强学生的安全意识,使其规范自己的网络行为。

总结

篇7

思科近期推出全新思科物联网系统能够全面应对数字化的复杂性。其基础设施可有效管理由多种终端和平台构成的大规模系统,并能够轻松处理由这些终端和平台生成的海量数据。

全新思科物联网系统包含六项关键技术要素或“支柱”。通过将这些支柱整合到一个架构之上,该系统能够帮助显著降低数字化的复杂性。

这六大支柱可以慨括为6点:

1. 网络联接。此支柱包括各种参数的定制路由、交换和无线产品。

2.. 雾计算。“雾”是一种面向物联网(IoT)的分布式计算基础设施,可将计算能力和数据分析应用扩展至网络“边缘”。它使客户能够在本地分析和管理数据,从而通过联接获得即时的见解。思科预测,到2018年物联网创建的数据中有40%将在雾中进行处理。超过25款思科网络产品将支持思科的雾计算或边缘数据处理平台(IOx)能力。

3. 安全性。物联网系统的安全支柱将网络与物理安全统一起来,能够提供出色运营优势,并增强对物理和数字资产的保护。这一支柱下的产品包括具备TrustSec安全功能的思科IP控制管理产品组合和网络产品,以及云安全产品,能够支持用户管理、检测和响应IT和运营技术(OT)的组合攻击。

4. 数据分析。思科物联网系统提供了优化的基础设施,支持实施分析,并为Cisco Connected Analytics产品组合和第三方分析软件提供可执行的数据。

5. 管理和自动化。该物联网系统提供了增强的安全性和控制力,并支持多种孤立的功能,为管理日益增多的终端和应用提供了一款易于使用的系统,能够全面满足现场操作人员的需求。

6. 应用支持平台。全新思科物联网系统提供了一组面向行业和城市、生态系统合作伙伴和第三方厂商的API(应用编程接口),支持他们在物联网系统功能的基础之上,设计、开发和部署自己的应用。

此外,思科还宣布推出隶属于这六大支柱的15款全新物联网产品。

思科物联网系统可支持垂直行业部署和加速物联网解决方案的发展,并利用有针对性的解决方案实现业务优势。这些行业包括制造、石油和天然气、公共事业、运输、公共安全和智慧城市等。主要行业领导厂商已将其软件应用迁移到了思科雾计算系统上运行,包括GE(Predix)、Itron(Riva)、OSISoft(PI)、smartFOA(在日本市场)、Bit Stew、Davra、SK Solutions、东芝等。

思科新的合作伙伴Covacsis公司将利用思科IOx来向制造行业提供预测分析解决方案。此外,思科还为物联网提供了全面的咨询和专业服务。通过将思科领先的网络专业知识与技术合作伙伴的专业知识相结合,将能够帮助企业加速转型,确保IT和运营技术协调发展。

与此同时,思科斥资6.35亿美元收购网络安全公司OpenDNS。OpenDNS旗下的“Umbrella”云计算产品可以帮助企业客户免遭恶意软件、钓鱼软件、僵尸工具以及其它有针对性网络黑客行为的攻击。

篇8

关键词:SYGATE公司安全策略保证系统;入侵防护系统

中图分类号:TP3文献标识码:A文章编号:1009-3044(2010)18-4901-02

The Security Solution for the Front Retailer Computer

QI Gang

(School of Computer Science, Wuhang University, Wuhan 430020, China)

Abstract: In nowaday, the front retailer computer of telecom operatior is lack the essential management method.They also has serious insufficiency on the security aspect and the usability aspect.The enterprise’s security policy is unable to use a suitable method to implement the whole system.So the front retailer staff’s behavior can not be restricted. This article provides a solution which using the SYGATE ESS system to solve the problem we talked about before.The SYGATE ESS system can implement enterprise security standards,regulate the operating behavior of front line staff and protect network security.

Key words: SYGATE ESS; IPS

1 终端维护面临的问题

目前,省一级电信运营商运营支撑网络基本上都采取如下接入方式:省分公司将访问资源集中,各个市州分公司通过传输资源与省分公司连接,然后各个营业网点再通过接入网与市州分公司的汇聚层设备连接用于前台营业终端的接入。由于终端分散在省内各地市县的营业厅及办公大楼内,在日常维护会常见如下问题:

1) 没有经过安全检查的电脑可以直接登陆网络;

2) 操作系统的补丁无法保证每一台终端都正常装上;

3) 防病毒软件的安装率始终都无法达到100%,致使病毒容易在局域网内传播;

4) 对于染毒终端发起的ARP攻击缺乏有效的工具进行控制,定位困难;

5) U盘及光驱的使用导致终端染毒的机率大大增高;

6) 很多营业厅(特别是合作营业厅及代办点)使用终端浏览INTERNET网页,玩电脑游戏,对营业员的行为无法进行规范;

7) 市州的营业前台终端由于分布零散,很难进行全面的管理及控制;

采用SYMANTEC公司的SYGATEESS系统可以完备的解决上述存在的维护问题,下面就以H省某电信运营商的实施案例作简要介绍,与各位读者分享。

2项目实施目标

H省电信运营商本次项目实施的目标是保证运营支撑网络的安全,确保网内终端的可靠性及可用性,减轻市州网络管理员的维护压力。具体可分解为以下目标:

1) 对网络实行强制准入控制,保证只有合法的用户才能访问企业的内部网络。

2) 终端在进入内部网络之前自身的安全性符合企业的安全策略,落实并强制实施企业网络的安全策略。为合法终端构建无缝的防护体系。强制终端安装网络安全程序(如防病毒软件、个人版防火墙、入侵检测工具),安装操作系统补丁等,并强制进行更新。

3) 对营业前台终端访问的网络资源进行控制。只允许前台终端访问省分允许访问的网络资源,禁止访问其它非法的网络资源,禁止连接INTERNET。

4) 对终端上运行的程序进行控制。只允许前台终端运行与工作相关的软件,禁止非法程序(游戏软件等)的运行。

5) 禁止优盘及光驱等不良外设的使用。

3 解决方案

通过前期产品选型及试用,H省电信运营商最终选用了SYMANTEC公司的SYGATE安全策略保证系统(ESS),SYGATE ESS系统主要包括4部分:客户端软件、策略服务器、强制准入控制服务器、数据库服务器。

ESS系统客户端软件具有如下功能:

1) 终端完整性检查。终端完整性策略检查终端计算机上防病毒软件、反间谍软件、补丁程序、Service Pack 或其它必需应用程序是否符合要求。具体内容可以是对防病毒程序的安装,微软的补丁安装,客户端启用强口令策略,关闭有威胁的服务与端口,因为主机完整性检查支持对终端的注册表检查与设置,进程管理,文件检查,下载与启动程序等,所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。

2) 终端软件防火墙。通过SSE的以应用程序为中心的终端软件防火墙能对客户端的网络访问制定访问规则,支持对应用程序来设定防火墙规则。

3) 入侵防护系统 (IPS)。通过集成的入侵防护系统对各种入侵行为做出自动响应,保护终端避免受到黑客攻击,对目前流行的ARP欺骗功击有很好的防护作用,并可定期从服务器端升级攻击特征码。

4) 操作系统保护策略。客户端对终端的文件、注册表项和进程可以直接访问。客户端对终端的硬件设备可以进行管理,根据企业网络安全策略设置是否终端使用相关的设备,可以设置对如U盘的禁止使用,无线网卡,红外端口的禁止使用,禁止修改IP地址,禁止U盘的自动运行功能、禁止指定程序如BT程序等的运行。

从上述描述可以看出,客户端对终端的控制在操作系统层面来讲已达到系统管理员这一级别,这样就保证了ESS系统对前台终端具有完全的控制能力。

客户端软件布署在前台营业终端上,接收策略服务器下发的企业安全策略并执行;策略服务器负责终端的安全策略的制定;数据库服务器存储所有客户端的信息;强制准入控制服务器对不符合安全策略的终端进行隔离。当终端在访问省分资源时,强制准入控制服务器将对终端进行准入认证,只有符合网络安全基本策略的终端才能访问企业的内部网络,否则将对终端的HTTP访问进行重定向到指定的网页,指导用户对终端进行必须的安全加固之后才能访问企业的内部网络。

按照网络的的现状,我们设计了如图1的部署方案图。

如图1,为了让市州所有访问省分的网络流量通过准入控制服务器,将准入控制服务器布署在主用的汇聚层路由器与汇聚层防火墙之间,数据库服务器与策略服务器布署在省分,由省分进行统一的管理。结合如图2的流程图,可以清晰地表明整套系统所发挥的作用。

策略服务器将省分制定的企业安全策略下发至前台终端上的ESS客户端,由客户端完成省分制定策略的执行检查工作并对终端进行保护。强制准入控制服务器对终端客户端的安装情况进行校验,保证所有终端都必须安装客户端。这样,整个系统形成闭环管理架构,省分的安全策略能够得到有效的执行,保障了前台终端及整个网络的稳定运行。

4 总结

篇9

【关键词】网络安全;网络攻击;建设与规划;校园网

1、网络现状

扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。

2、安全威胁分析

目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。

2.1安全设备现状

Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。

2.2外部网络安全威胁

互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。

2.3内部网络安全威胁

内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。

3、安全改造需求分析

本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。

4、解决方案

网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。

4.1短期网络建设规划

4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。

4.2长期网络建设规划

网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。

5、结语

从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。

参考文献:

[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184

[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3

[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4

[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17

[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31

篇10

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。