网络安全技术实施方案(6篇)
网络安全技术实施方案篇1
关键词:网络优化通信安全技术方法
0引言
近年来,随着网络规模的逐渐发展和扩大,越来越多的网络安全问题也随着出现,频发的网络安全问题不仅给人们的财产安全带来损失,甚至对整个国民经济的运转也带了一些不可小觑的损失。因此,在当前情况下,必须解决网络优化的安全性问题,保证网络能够朝着完整、安全的方向发展,为企业和个人的网络安全提供坚实的保障。
1网络通信技术的发展现状与趋势
在国家信息网络的建设之中,一些大容量的通信网络作为其中的主要部分,是实现国家基础信息通信的基础性设施,因此,在当前情况下,网络通信技术的发展收到了极大的关注,网络通信技术的发展不仅仅制约着我国军事、政治、文化等各个行业的发展,同时也制约着整个国民经济的发展。目前,我国网络通信技术是朝着个人化、智能化和综合化的形式进行,可以支持各种可变速率、实时和非实时、宽带和窄带的业务,在现阶段下规模最大的通信网络是计算机网、电信网以及有线电视网,这几种网络都各具有自己不同的优势和劣势。目前,计算机网络已经可以指出各种数据业务,但是其服务质量不高,稳定性能不足,且安全性能差,不能只是实时图像以及电话等业务;电信网则可以支持质量较高的电话语音,但是就不能达到计算机系统的智能化的程度;有线电视网的宽带性能和实时性能都比较好,但是不能实现网络管理和网络的双向通信。随着相关数字技术的发展,这三种技术都在不断地发展,逐渐克服发展中的不足之处,使其兼备其他网络通信技术的优势。电信网络主要通过使用以太网等技术实现网络的接入和各种交互性的多媒体业务;而有线电视网则通过加设光缆、使用HFC等技术来对其进行双向化的改造;计算机网则主要通过发展网络技术建网工作,不断进行网络全业务的开展,因此,在未来的发展趋势下,网络通信技术会朝着“三网融合”的方向发展。
2网络通信技术的安全性探究
对于网络通信技术的安全必须从多个方面进行考虑,网络通信技术的安全性即信息系统的可靠性、保密性、完整性以及实用性,就现阶段来看,网络通信技术的安全性是与网络的特性有关并由计算机的硬件系统以及安全技术所使用的措施和服务。
2.1影响网络通信技术安全性的因素
2.1.1硬件的影响。影响网络技术安全性的因素包括硬件系统的影响以及人为破坏两个方面。对于硬件系统来说,一般其安装时为了方便管理而设置,但这种硬件系统的设置也会在很大程度上增加了网络通信系统被黑客攻击的概率以及病毒的入侵,虽然在设置阶段会将相关的杀毒软件或者其他的防护软件加入网络通信技术中,但是在整个系统长年累月的运行下,也会不可避免地出现运行中的缺陷。一般在这种运行缺陷出现之后,我们主要通过设置相应的防护和安全补丁来弥补系统中存在的种种安全漏洞,但是,在防护和补丁的设置中,一些软件程序会变得公开化,如果被一些居心不良的人找到系统中存在的漏洞并对其进行攻击,那么就会使网络的安全通信受到极大的安全威胁。
2.1.2人为因素的影响。人为因素也是影响网络通信技术安全性的重要方面,由于某些网络通信系统的内部工作人员在实际的工作过程中缺乏安全意识,会利用自己的权利进入网络系统中从事一系列恶意破坏的非法行为,由于网络系统在其组建的过程中遵循的就是tcp协议,这种协议在本身的运行过程中就存在较多的安全隐患,因此,这种人为因素的影响就会在很大程度上进一步增加系统中的安全隐患,这种行为就导致网络的应用服务中存在着不同的安全隐患。
2.2现阶段下的网络安全防护措施
2.2.1防火墙技术的应用。防火墙技术的应用可以使网络结构获取的各项信息和数据在进行网络层的访问时能够得到应有的控制,在通过控制之后可以实现对数据安全的保护,这就可以最大限度地防止黑恶以及病毒对网络系统的攻击,这也可以在很大程度上防止黑客对计算机的信息进行恶意的篡改或者随意移动计算机中信息的不良行为,也可以防止网络中一些不良因素的扩散和蔓延,可以有效地保障网络系统的安全,因此,在现阶段来看,防火墙的使用已经成为网络系统中不可或缺的重要组成部分。除此之外,一般还会采取身份验证技术对网络系统的各项信息进行登入验证,保证网络系统数据信息的完整性和全面性,保证信息不受到非法的篡改和攻击。
2.2.2入侵检测技术的应用。防火墙技术的普遍应用可以防止网络内部的系统不被黑客和病毒攻击,但是对于网络内部的一些非法活动的监控力度还不足,入侵检测技术的应用就是为了弥补防火墙技术的不足而设置,入侵检测技术的应用不仅可以提高网络内部以及外部的保护性能,同时也可以将一些有害的信息进行有效的监控和拦截,全面保证网络系统数据的安全性。
2.3对现阶段网络通信安全的优化
2.3.1对网络通信安全进行优化的必要性。目前,在网络通信系统中虽然也运用了一些相应的防护技术,但是还存在着一些不足之处。对于基站工作人员来说,在日常的网络通信维护工作中经常可能会遇到网络核心站点的端口不足、网络业务汇聚节点缺少等情况,这就在一定程度上阻碍了新业务的增加和开展,在这种情况下,只能够通过业务的调节和改造来实现扩容业务,因此,这种通路组织以及网络结构的不合理就在很大程度上造成了传输资源的浪费。目前的网络经过多次扩容,很多网络中的网段以及节点逐渐成为制约网络通信发展的制约点,这就导致新设备的性能受到严重的制约,致使新业务得不到全面的开展,也无法实现网络系统的增值,此外,现在很多网络系统中的节点缺乏相应的保护,如果这种节点在运行过程中失去应有的作用,那么就会导致整个网络传输业务受到较大的阻碍,情况严重时甚至会造成整个通信业务的中断。
2.3.2对网络通信安全进行优化的流程分析。对网络通信安全优化的流程包括数据的手机分析、网络系统的分析评估、优化方案的制定和对比、优化方案的具体实施、优化方案实施后的对比以及优化方案的改进等等,在网络通信安全优化的整个流程中,必须要做好数据的收集流程以及优化方案的制定和对比流程,数据的收集流程作为整个网络通信安全优化流程的基础所在,对于整个优化流程具有非凡的意义,也是影响整个优化工作是否能够准确全面的决定性因素。优化方案的制定和对比则是优化方案实施的关键性因素,由于这个步骤中设计的人员较为广泛,因此,一定要做好该阶段的人员管理和调配工作,在这个过程中,管理人员就要发挥好自己的能力,做好与每个设计人员的沟通工作,保证优化方案制定的可行性。
2.3.3网络通信安全优化流程的评估内容。对于整个网络通信安全优化流程的评估,主要包括以下几个内容:
①网络通信资源利用率的评估。对于网络通信的评估主要包括设备的槽位利用率、设备端口使用情况;设备中交叉资源的使用情况;网络设备中电路的使用情况;网络中平均电路的使用情况;业务转接方式的改变;网络调度效率的实际情况以及设备的升级能力。对于网络通信资源利用率的评估可以在第一时间明确优化方案过后网络的资源是否得到了全面有效的利用,同时,对于网络资源的利用是否安全合理,整个方案的实施是否具有经济性和合理性,是否会促进整个系统的良性循环。此外,对于网络资源利用率的评估还包括对网络生存性的考察,对于网络生存性的考察就主要包括对网络设备的运行条件、网络设备的保护性、网络实际保护情况、网络线路的情况、实际业务配置情况、安全故障的考察等方式的评估,此外,在评估的过程之中,要注意分析系统的业务配置以及保护方式是否会对网络正常合理地运行造成安全隐患,如果发现存在安全隐患,就要在第一时间安排专人做好安全隐患的排查和处理工作。
②对于网管系统的评估。网管系统是整个网络通信系统的重要组成部分,对网管系统进行分析,要看现阶段的网管系统能够存在相应的管理能力和分析数据的能力,并且网管系统还应该与端口电路的调度能力相适应,随着网络通信技术的发展,各种针对用户的新服务和新业务也不断地推陈出新,为了使网管系统更好地适应当前新业务的发展需求,在对网管系统优化和评价的过程中要考虑到网络的时钟资源的有效配置以及时钟的提供情况,并根据具体网管系统的运行和维护记录对整个系统的运行情况进行全面的分析,看系统的运行中是否存在故障,如果存在故障,就要对故障出现的原因进行全面地调查,找出出现故障的根本原因,一般情况下,网管系统故障的出现不外乎设备的故障、单板的故障、关键节点的故障、网络运行的故障以及线路的故障几个方面。在做好故障的分析工作后,要根据实际的故障情况及时更新老化的设备以及破损的线路,防止故障的进一步蔓延。
3结语
网络通信技术的安全和优化是通信公司的重要工作内容,只有不断地对现阶段的网络通信技术进行系统的优化才能及时发现系统运行中存在的潜在问题,只有发现这些潜在问题的存在才能够制定相应的制度对这些问题进行及时的处理,才能够使网络系统发挥出应有的作用。
参考文献:
[1]王金妹,刘琪芳.网络优化与通信安全技术的探索[J].中国新技术新产品,2010(15).
[2]杜婷.计算机网络安全建设方法及安全技术[J].中国新技术新产品,2009(8).
[3]李勇奇,王宇,卢昱.开放网络环境下客户端的安全[J].计算机工程与科学,2000,22(6).
[4]屠文.网络信息安全传输系统的设计和实现[J].电脑与电信,2008(7).
[5]刘巍.企业管理信息系统安全性探讨[J].科技风,2008(17).
网络安全技术实施方案篇2
关键词:档案管理;网络技术;保密工作
随着信息技术的迅猛发展,办公自动化提高了工作效率。在网络信息环境下,资源共享成为当前档案信息发展的新趋势,然而档案信息资源利用也受到档案自身属性的制约。考虑档案的机密性,维护国家利益作为前提,一旦泄密将会给国家造成巨大损失。因此,档案的保密工作显得十分重要。《保密法》第四条“保守国家秘密工作,实行积极防范、突出重点、依法管理的方针,既确定国家秘密安全,又便利信息资源合理利用。”明确了保密与利用的关系,在保守秘密的前提下,为档案的合理利用提供了法律依据。从管理角度来看,保密是一种手段,既充分发挥档案的价值又保证档案的信息安全。所以在网络环境下做好档案保密工作,我们应当正确认识和处理两者的关系。
1网络环境下档案保密工作保管设施是前提
计算机网络技术在政治、经济、社会、文化等各个领域的广泛应用,档案管理工作也进入网络、信息、数字化时代。与此同时,信息安全与保密问题也摆在人们面前,危及计算机终端和网络信息系统的安全事件时有发生,不容忽视。传统的纸质性档案管理积累了许多经验,建设高标准的档案库房,配备防盗门、铁栏窗、报警器、保险柜、电子监控设备等防盗设施,实行“三室”分开,从档案库房内外部的硬件保管条件上确保档案的安全。进入网络时代,传统的档案管理模式被电子信息技术模式所取代,电子文档和数码技术使电子档案保存管理相对方便,存储介质占用空间极小,对存放场地要求相对较低,但保密问题是一个难题。电子档案从保管形式上分为两种:一种是存储在磁盘、光盘上的电子档案;另一种是存储在网络数据库中的电子档案。存储在磁盘、光盘上的电子档案,相对比较好管理。保管上主要做好防消磁、防损坏工作,必要时可复制副本或异地保存。而计算机终端作为创建处理和存贮电子档案的载体之一,在信息安全与保密方面影响因素大易被攻击,又因误操作受破坏和非法使用,操作系统、应用软件的漏洞和病毒感染等造成的数据丢失,信息增删更改,恶意入侵、窜改和删除数据,都给电子文件信息内容的原始性和真实性保护带来威胁。加强计算机管理:一是采用防火墙、安全等技术实现,阻止外部攻击。二是实行内外网隔离,移动存储介质不在内外网之间交叉使用。三是不轻易更换硬盘,对废弃的硬盘要有专人销毁。四是防止电磁波泄露,电源线、传输线、CPU、内存、I/O接口等部位都有较强的电磁辐射,借助仪器设备采用距离防护、噪声干扰、屏蔽等把电磁泄露抑制到最低限度。五是对文档可设为只读模式,或对部分电子文件加密,确保真实准确。六是采取现代网络管理软件对计算机进行监督、管理、控制,从而在很大程度上解决普通网络安全保密检查难以解决的问题。
2网络环境下档案保密工作利用措施是关键
在网络环境下利用档案资源共享,实现档案资源的合理配置,满足社会公众需求,更不能忽视档案信息资源的保密问题。从表面上看,共享与保密相互矛盾,但实质上是相辅相成、相互促进的,在这个完整的网络信息平台上必须考虑共享与保密两大因素,这是衡量电子档案保密的利用措施。目前,传统性的档案利用方式已经不能满足社会所需,档案部门必须从解放思想、更新观念入手,审视档案信息开发与利用的地位。利用电子信息技术进行性档案管理应严格按照程序办理,认真履行审批、登记、签字手续;对秘密等级比较高的,不宜用拷贝的方式提供利用;对上网的电子档案必须从进口、传输、使用三方面采取安全保密措施。重要电子档案的信息内容,需在数据传送前进行加密或隐藏处理,在数据传送过程中,对传输信道和传输设备中传送的信息采用逐链加密,端端加密或混合式加密。在对外提供利用时,采取对与所查档案无关的文件进行密封等措施。对文件单份保存,编制目录卡片,建立文件统计台帐和存放地点索引,为科学管理,准确掌握,有效保密,及时地提供利用创造条件。纸质档案库房采取双人双锁措施,指定专人负责管理。对存储在网络数据库中的电子档案,重点做好数据库的安全与保密。首先要加强对计算机信息系统的保密管理,做好计算机内外网分离工作,安装防火墙,保证网络安全。其次做好权限控制,实行加密技术,确保保密数据只能被有权限人使用,且整个使用过程应被完整记录,做好事前防御,事后追踪。其三可根据权限查阅,实行电子身份认证、防改写措施,在权限范围内更改、编辑图纸、文本,但不能将图纸及文本本身或者内容下载到终端用户及任何设备上。这样,所有的保密数据统一集中地保存在服务器上,既有效又安全,从根本上杜绝保密信息的泄漏。正确分析和鉴别档案内容的现实作用和历史意义,确定档案的保管期限,及时开放和利用。采取有效措施,堵塞危及档案安全的漏洞,解决信息公开背景下网络泄密问题,使网络运行管理引入即时反馈的机制,促进信息网络安全整体构架的逐步健全和完善,从而实现计算机网络安全保密运行的技术化、制度化和长效化的管理目标。
3网络环境下档案保密工作制度落实是保证
网络安全技术实施方案篇3
【关键词】DCS系统;网络;信息安全;思考
随着DCS系统在电力行业的普遍推广,DCS系统对于电厂安全生产有决定性的影响。SIS系统完成生产过程的监控和管理,故障诊断和分析,性能计算和分析、生产调度、生产优化等业务过程,是集电厂各专业(如:炉、机、热控等)综合优势,经过长期科研开发、成果储备和丰富的现场实践经验积累而成的。SIS系统以DCS系统为基础,以经济运行和提高发电企业整体效益为目的,采用先进、适用、有效的专业计算方法,实现整个电厂范围内信息共享和全厂生产过程的实时信息监控,提高了机组运行的可靠性。
一、DCS系统网络不安全因素
(1)物理层的不安全因素分析。网络的物理不安全因素主要指网络物理特性和周边环境的变化,而引起的线路和网络设备的不可用,而造成网络系统的不可用,物理层的安全是整个网络系统安全的前提条件。(2)网络层不安全因素分析。一方面由于在上下级网络数据传输线路和同级局域网之间存在被窃听的威胁,另一方面,局域网内部也存在内部攻击行为。(3)管理层不安全因素分析。网络离不开人的管理,网络安全策略需要人去实现,在整个网络中,人起着重要的作用。同时对人的管理也是网络安全管理中的最重要的环节。
二、解决DCS网络实时信息安全问题措施
(1)网络安全方案提出的原则。对于DCS网络而言,在指导思想上,首先,应该在对DCS网络不安全因素分析的基础上,做到全面考虑、统一规划;其次,应积极采用各种先进技术,防火墙技术,虚拟交换网络,虚拟专用网络技术、加密技术、PKI技术等等,特别是入侵检测系统,并实现集中统一的监控、配置、管理;最后,应加强各项有关网络安全保密的规章制度的制定,并严格执行。(2)DCS网络安全解决方案。第一,物理层安全解决方案。一是环境安全:对系统所在环境的安全保护,如灾难保护和区域保护。我们可以参考国家相关标准,例如《计算站场地技术条件》、《电子计算机机房设计规范》、《计算站产地安全要求》等等。二是设备安全:主要包括设备的、防电磁信息辐射泄露、防毁,防止线路截获、防盗、抗电磁干扰和电源保护;设备冗余备份等等,以上这些问题,需要我们加强管理及和提高员工整体安全意识来克服。三是媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除了在网络规划和环境、场地等高要求外,还要防止系统信息在空间的扩散。第二,网络层安全解决方案。一般采用VPN、防火墙、访问控制表等等技术手段,而目前基于数据挖掘的入侵检测系统也日趋成熟。入侵检测给我们提供了一个用于发现合法用户滥用特权和入侵攻击的重要方法。常见的检测方法包括神经网络法和概率统计法。第三,安全管理解决方案。安全体系也就是安全组织机构,它具体可以划分为:管理层、决策层、执行层;而安全制度则包括规范、章程、法律;安全管理手段包括有:咨询、评估、审计,以及人员安全培训等等。
三、DCS系统安全解决方案的检验
DCS数据网络安全措施应主要包括三个目标:(1)保持系统及数据的完整;(2)对实时控制信息传输及存取的控制;(3)能
够对系统进行恢复和对数据进行备份。对于DCS系统安全问题,我们应该做到事先防范,未雨绸缪,方可避免不必要的损失。任何商业性的经营都离不开成本核算,而电力部门也不例外。我们在对一个网络的安全进行评估是,首先要考虑的是其保护的是什么、防范的又是什么、打算有多少投入。只有把这些问题都搞清楚了,我们才能制定出一套综合、完善的方案来,进而确定该方案所需要的技术。在某种意义上讲,安全也是一种投资。既然是投资,我们就不得不考虑其性价比。例如选用防火墙技术,其安全级别和价倍的关系等。正所谓旁观者清,网络是否安全,有时并不是网络所有者自己能完全清楚的。因此,很多公司要请专家或者第三方评估机构对网络安全进行评估。这样做可以使我们对自己所处的环境有个更加清醒的认识,力争把未来可能的风险降到最小。研究和解决我们通向信息化社会中遇到的网络安全问题,已经不仅仅是单纯的技术问题,其难度和负责度已经不容忽视。
综上所述,DCS系统是电厂发展成数字化企业的基础和根本,因此,DCS系统的安全是电厂信息安全的关键。目前我国有许多电厂的DCS系统安全,只是简单依靠某一单一技术,常见的如防火墙等,信息安全问题十分严峻,内人士务必要对此引起高度重视。
参考文献
网络安全技术实施方案篇4
档案信息化是当今世界档案管理的大趋势,是档案能较大发挥信息功能以推动社会发展和变革的必然之事.档案信息安全问题是档案信息化建设中面临的最重要的问题.确保档案信息化建设中档案信息安全是摆在全体档案工作者面前的崭新课题。随着中围特色社会主义建设日新月异的发展,我闻档案事业得到了前所末有的迅速发展,然而,在我国档案管理体系中,由于档案资源数量庞大、管理层次复杂、发展不尽平衡等原因,一些地方档案事业管理还存在诸多问题,档案安全问题就足其中之一。
一、档案信息安全应注意的问题
档案信息化建设是以转变观念为前提的创新性档案工作,当前绝大多数单位的档案管理人员习惯于传统式的手工管理,档案管理人员中缺乏信息技术专业知识,对信息化条件下档案安全管理缺乏有效的智力支持,其安全理念仍停留在防盗、防火、防潮等传统纸质档案的安全管理层面,信息安全观念淡薄,孰知随着信息技术在档案工作中的应用,档案数字化和网络化工作的不断推进,档案安全管理面临新的挑战。
1、病毒威胁。在档案信息化工作的信息安全问题中,计算机病毒发生的频率高,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要档案数据的丢失,损失是灾难性的。
2、网络威胁。随着信息技术在档案管理工作的应用不断推进,档案管理逐步向信息化和网络化发展,网络的应用规模和覆盖范围不断扩大,如何保证网络安全已成为档案信息化工作中重点之一。
1、网络结构的安全分析。网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intrant的其他网络。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
2、系统的安全分析。所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3、应用系统的安全分析。应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,包括很多方面。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在有些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,其经济、社会影响和政治影响很严重。
4、管理的安全风险分析。管理是档案信息化安全中最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
二、安全的环境为档案信息的快速发展提供土壤
安全的电子信息技术的快速发展。为信息的技术、为计算机的网络技术提供了较多的便捷,极大的方便了档案信息的管理。现代的档案管理,随着电子文件以及档案信息技术的提高,对档案的管理逐步趋向数字化与网络化,然而数字档案的管理仍面临严重问题,例如,面临计算机的蓄意破坏、诈骗以及间谍威胁、遭受黑客的侵害等问题,如何在合理利用电子技术、又不遭受信息的威胁、确保档案信息的安全等问题,成为现代电子信息安全化关注的重点。数字档案信息安全管理所面临的问题数字档案的信息,指的是利用现代的信息技术方法或者手段,对国家以及社会组织中较有价值的、重要的档案归档并整理之后,用计算机对其数据进行系统存储、可通过网络上传、利用,并以数字为代码,进行对文字或者是图像及声音的记录的过程。
三、档案信息安全管理制度的建立
建立健全档案信息安全管理制度,“三分技术,七分管理”尽管不是十分的准确,但任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段,都围绕这一策略来选择和使用,如果在安全管理策略上出了问题,相当于没有安全系统。同时,从大角度来看,网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息安全空间的。
网络安全技术实施方案篇5
摘要随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。关键词信息安全;pki;ca;vpn1引言随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。在下面的描述中,以某公司为例进行说明。2信息系统现状2.1信息化整体状况1)计算机网络某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图12)应用系统经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。2.2信息安全现状为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。3风险与需求分析3.1风险分析通过对我们信息系统现状的分析,可得出如下结论:(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。3.2需求分析如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。4设计原则安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。4.1标准化原则本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。4.2系统化原则信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。4.3规避风险原则安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。4.4保护投资原则由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。4.5多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。4.6分步实施原则由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。图2网络与信息安全防范体系模型信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。5.1网络安全基础设施证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(publickeyinfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。5.2边界防护和网络的隔离vpn(virtualprivatenetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。通过安装部署vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个vpn网络的安全策略进行集中管理和配置。5.3安全电子邮件电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。目前广泛应用的电子邮件客户端软件如outlook支持的s/mime(securemultipurposeinternetmailextensions),它是从pem(privacyenhancedmail)和mime(internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,s/mime将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。5.4桌面安全防护对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。1)电子签章系统利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。2)安全登录系统安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。3)文件加密系统文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。5.5身份认证身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usbkey是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usbkey内置的密码算法实现对用户身份的认证。基于pki的usbkey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。6方案的组织与实施方式网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。图3因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。7结论本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。参考文献[1]国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
网络安全技术实施方案篇6
关键词:网络方案;建设原则;规划与设计
中图分类号:TP391文献标识码:A
1概述
随着计算机网络的飞速发展,带动了信息产业的提升;在巨大的信息产业面前,网络建设的势头也是急剧增加;作为培育人才的摇篮,校园网络的建设和发展,逐渐被人们所重视;目前我国的校园网络建设尚存在应用层次比较差的特点;而基于校园网络的可靠性、安全性、适用性的矛盾也日益突出。如何利用现有资源,保障校园网络改造、扩充网络应用水平,以实现校园网络飞速发展,是摆在校园网络建设者面前重要问题和挑战。
2网络方案设计建设原则
2.1方案设计原则
校园网络系统由软件、硬件两个部分组成。软件部分包括应用软件和系统软件。Internet应用、规模化教学管理、办公管理系统是应用软件部分;系统软件主要是服务器操作系统、工作站操作系统、网络设备上的操作系统、网络管理系统以及安全系统。硬件部分主要由网络布线系统、网络设备、主机(服务器)系统以及各种外设组成。
2.2方案建设原则
2.2.1网络规模。规模决定应用的大小,校园网络要实现与相关横向的网站互联、实现Internet的互联、还要实现国际网络的通信流畅,能够快速搜索国内外最新学术信息,并在使用功能上能够辅助课堂和实践教学的作用。为学院各部门的信息交流和资源共享提供保证;并保证网络高性能、可扩展。
2.2.2网络业务。电子邮件功能及OA;电子图书馆;讨论和交流功能;视频点播;无线网络;宽带上网。
3网络方案技术选择
3.1方案技术选择前提
校区网络建设应该以应用为核心,在设计中充分考虑到教育管理、教学和专业性质的教学要求,并且网络技术上应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。以太网技术是现在最富有弹性的网络技术之一,从校园网的要求来看,使用以太网技术是最佳选择。
3.2方案技术选择要求
一是网络的可靠性;二是网络的速度反应性;三是完整维护性;四是安全性;五是可控管理性;六是符合发展趋势性。
4网络设计实施
4.1.1网络拓扑总体设计
石家庄邮电学院园区的网络点主要分布在办公大楼(145个信息点)、教学楼六栋(160个信息点)、图书馆(90个信息点)、实验楼电脑室(共两间,分别62个和64个点)、教师宿舍(70个信息点),学生宿舍(六栋楼,共约384个信息点),饭堂(5个信息点),体育馆(10个信息点),实验楼的部分实验室(15个信息点)。
拓扑总体设计:
4.1.2IP及VLAN方案
4.1.3Internet接入方案
(1)Internet接入规划:校区网络出口为双路千兆光纤接入,在成本允许的情况下,采用双路固定公网IP的方式接入骨干网;设置权限同时采用有线加无线方式在校区布置内网。
(2)Internet接入方式:校园网与骨干网通过固定IP方式,采用光纤接入,在校园网入口处,添加安全防火墙;网络内部用户,在使用校园网的时候,可以通过多终端进行接入。
4.1.4网络管理及安全
(1)网络管理模式
校园网管理模式主要分为两个方面,用户管理和设备管理。用户管理的内容:校园网络的用户分为多种,多数是学生,剩下部分有教师;用户管理在大体上可以分为:流量统计、行为分析、访问控制三方面。设备管理内容:数据网络是光纤和双绞线通过综合布线的方式把各式各样的设备连接起来的,网络渗透到校园的各个角落。
(2)网络流量统计方案
网络流量统计方案,现在惯常做法是使用服务器和直接使用路由器两种操作手法;服务器有日志功能,读取即可;路由器则可通过采集数据和分析手段来实现。
(3)安全方案
安全问题最大的防范手段就是安全管理能够彻底被执行,所以安全方案的实施,必须在技术上保证安全管理的可实施性。一是网络分段技术;二是交换式集线器到桌面技术;三是虚拟局域网(VLAN)划分技术。
4.1.5设备选型及依据
校园网中主要的设备是路由器和交换机一是选择交换机时,应选择在国内市场上有相当的份额,具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品,以及良好的售后服务。二是选择路由器时,采用成熟的、经实践证明其实用性技术的产品。
4.2网络安装与维护
校园网络规划设计实施完成以后,尔后最大的问题就是网络就是网络的安装和维护问题;安装维护有几个点必须要把握好,一是系统的集成方案问题,这要在安装之前彻底进行考证和分析;二是基础建设是否给予支持,基础建设内容包括布线、设备性能以及实施的平台环境等因素;三是对应用软件的测评工作;四是安装后的维护管理功能方面,主要是针对于校园网的特殊性,而采取的网络管理是否能到位问题的纠错工作。
结语
校园网络的建设是大势所趋,信息化的硬件设施是每一个高校必备的物质保证,只有将校园网络规划设计好,那么,校园网络才能发挥更好的作用,也才能完成为社会未来发展培育人才的伟大任务。