企業網絡管理辦法范文
時間:2024-04-10 15:50:22
導語:如何才能寫好一篇企業網絡管理辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
隨著互聯網技術的飛速發展,它在推動社會進步的同時,網絡安全問題也越來越多的出現在人們的生活當中,企業也同樣面臨著各種各樣的網絡威脅。面對這樣的局面,企業該如何解決安全威脅問題呢?據此研究企業網絡安全體系,從企業網絡的特殊性,影響企業網絡安全的因素,企業網絡安全的管理辦法以及防火墻技術的應用幾個方面進行闡述,全面研究企業網絡安全體系。
關鍵詞:
企業 網絡安全 管理辦法
近日,日本養老金管理機構因員工操作不當,導致日本養老金系統遭遇網絡攻擊,上百萬份個人信息遭泄露。5月28日,攜程旅行官網突然陷入癱瘓。除首頁可顯示頁面,多數頻道無法打開。經調查,網絡癱瘓是由于攜程部分服務器遭到網絡攻擊所致。面對這種網絡攻擊越來越多的局面,企業該如何解決安全威脅問題呢?
一、企業網絡有哪些特殊性
(一)企業內部網絡與外界網絡是斷開的
企業內部網絡形成了一個單獨的局域互聯網絡,并沒有與外界網絡的接入端。在企業內部網絡中,企業網絡的接入口都是在企業內部,企業外部人員很難控制企業網絡的接入口。因此,通過外界網絡基本沒有辦法連接到企業內網中來。
(二)企業網絡對實時性要求很高
盡管企業內部網絡主要傳遞的資料是文字,視頻和圖像類的資料相對很少,所需的網絡流量很小,然而部門會議也會需要傳送視頻和圖像到企業下一級部門或客戶,甚至企業需要經常開展視頻會議,因此,為了保障信息的高速傳輸,需要為企業安裝高帶寬的接入端,以免影響企業信息傳輸速率,造成不必要的損失。
(三)企業網絡的接入口大多數在公司內部
為了使企業網絡得到集中管理,一般將企業網絡的接入口設在公司內部,以確保企業網絡接入端被其他公司或個人非法侵入。(四)企業網絡一旦出現問題必將造成不可挽回的后果在企業網絡中,如果出現服務器被黑客攻擊的狀況,企業網絡常常出現癱瘓的狀況,進而造成斷網等現象,嚴重的還會出現信息外流,給公司帶來嚴重的后果。從以上分析比較可知,盡管互聯網與企業網絡原理一樣,結構上卻存在較大的差異,也正是依據企業網絡的特殊性可知,企業網絡大多是安全的,那么,它又存在哪些不安全因素呢?
二、影響企業網絡安全的因素
(一)企業網絡硬件的安全性較差
網絡拓撲結構,是指用傳輸媒體互連各種設備的物理布局,網絡的拓撲結構不合理就會為企業網絡帶來隱患。因此,企業網絡拓撲普遍采用服務器通過路由器和防火墻與外網相連。而如果企業員工通過撥號上網,則容易造成公司數據外流。同樣,網絡中的硬件設備也會成為企業網絡中的安全隱患,例如,某企業網絡使用一種路由器,該路由器的性能安全性很差。
(二)企業網絡軟件存在著漏洞
企業網絡軟件包括很多種,如企業內部使用的操作系統,各種瀏覽器等,而這些網絡軟件或多或少都存在一定的安全漏洞。網絡黑客也就利用這個安全漏洞進行網絡侵入,盜取重要信息,隨之而來的給企業帶來不可彌補的損失。網絡漏洞廣泛存在,由于網絡服務器是企業網絡中的核心,而在企業網絡服務器中安裝的軟件和開放的端口越多,于是也越容易遭到網絡攻擊。TCP/IP協議往往被軟件開發者忽略,網絡黑客可以利用網絡協議以假IP地址向網絡主機發送請求,用以降低主機的工作效率。
(三)企業網絡容易面臨著計算機病毒與惡意程序
計算機病毒與生物病毒相同,同樣可以自我繁殖、互相傳染以及激活再生。計算機病毒程序寄生在各種類型的文件中,當文件從網上下載或者通過存儲設備傳播時,計算機病毒也隨之傳播。在企業網絡中,計算機病毒和惡意程序也容易侵入。對于種類如此繁多且日新月異的計算機病毒,人們并沒有一個根本的解決方法。
(四)企業網絡時刻面臨網絡入侵
企業網絡同時也面臨著網絡黑客的入侵,他們通過侵入企業網絡主機,從而獲取企業重要的信息,給企業帶來無可估量的損失。每天,全球200億人使用互聯網,每天全球發生網絡攻擊2億次,由此可見,網絡入侵成為企業面臨的重要問題。
三、企業網絡安全管理辦法
(一)健全的網絡安全制度
為了規范企業職員的行為,企業可針對網絡安全建立規范的網絡安全管理制度,從而確保網絡安全。網絡安全管理制度的制定不僅僅要規范企業員工的網絡安全行為,同時還要確定違反制度后的相關處罰措施。同時還應指派專門的管理人員根據管理制度檢查其實施的效果,從而使網絡安全成為企業網絡安全的重要保證。
(二)員工要具備網絡安全意識
企業員工為網絡安全的重要實施者,而使他們具有網絡安全意識成為企業網絡安全的核心問題。企業可以通過培訓、宣傳等方式,向企業員工講解相關事例,讓企業員工了解企業網絡安全的重要性。同時培訓相關企業網絡安全常識,包括設置網絡密碼,發現網絡故障,解決簡單的網絡問題等一系列知識。
(三)網絡設備的管理
定期升級網絡軟件可以提升網絡安全性,企業員工必須在指定時間升級網絡軟件。同時,員工應每人應用專屬密碼登陸企業網絡系統,以確保企業網絡安全。這樣,大大降低了企業內部資料泄漏的幾率。
(四)實施網絡分區管理辦法
每個企業的網絡都是比較繁雜的網絡系統,而某個小區域出現的問題都有可能使整個企業網絡處于癱瘓狀態。因此,對于復雜的企業網絡實施分區管理辦法是每個大型企業的必然選擇。企業可以指派專人負責每個分區,把復雜的系統簡單化,責任也分配到個人,從而提升整個系統的安全性和網絡管理人員的工作效率。
四、防火墻技術在企業網絡安全中的重要應用
(一)防火墻技術的技術基礎
1.設計理念
防火墻是將所有外來的網絡信息通過指定區域,并對該區域進行保護,從而使企業網絡系統更加安全。系統管理員設置網絡安全規則,但凡外部侵入信息都要經過安全規則過濾,從而實現對外界訪問的控制。而滿足網絡規則的用戶則可以對外網進行訪問。防火墻就是將內網與不安全的外網協議和服務隔離,它通常可以是服務器、個人機、主系統等。
2.安全策略
防火墻的安全策略是防火墻的重要基礎。它按照如下兩個規則制定:規則一:通過防火墻規則的所有訪問都被允許訪問;規則二:被防火墻規則拒絕的都禁止訪問。
(二)企業網絡系統中,防火墻的重要效用
篇2
關鍵詞:計算機系統結構IRP;信息優勢;主動預防
中圖分類號:TP309
企業要生存、發展,就必須面向市場,適應市場、開拓市場,竭力捕捉市場信息。信息對于市場經濟條件下的企業來說,具有生死攸關的巨大價值。沒有對大量準確、及時、系統的市場信息資料的掌握,既不能弄清企業外部條件變化對企業生產經營的影響,也無法了解企業內部各環節、各部門、各經營要素的狀況、聯系和變化。而在同行業之間的信息互通,也是至關重要的,將所有資源充分整合,才能形成綜合優勢。
中國加入WTO后,國際競爭國內化的趨勢將更加明顯。企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。這里特別要指出企業如何規劃有關信息。信息資源規劃(Information Resource Planning,簡稱IRP)是指對企業生產經營所需要的信息,從采集、處理、傳輸到使用的全面規劃。在企業的生產經營活動中,無時無刻不充滿著信息的產生、流動及使用。美國信息資源管理學家霍頓(F.W.Horton)和馬錢德(D.A.Marchand)等人指出:信息資源(Information Resources)與人、財、物資源一樣,都是企業的重要資源。目前,許多企業都已經認識到信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。只有做好信息資源規劃工作,才能理清并規范企業的真正需求,貫徹信息化建設的“應用主導”方針;才能消除因缺乏信息資源管理基礎標準而產生的“信息孤島”,從而整合信息資源,實現應用系統集成;才能指導SCM、ERP、CRM等應用軟件的選型并保證成功實施;才能應用規劃的結果來保護我們所珍視的信息。應該說信息資源規劃是我們要提供安全策略的前提。[1]
圖1是信息安全技術發展的四個階段,當我們整合了相關信息資源,歷經信息安全技術的各個階段,所缺少的元素便是對于人的信息化水平的要求。
可見,單從信息流向來看,其中的人為干預是必不可少的。因此,保障信息安全更要以人為本,注重網絡管理,加強制度化,形成標準的操作規范及流程。針對企業信息化安全問題,內容應當包括:網絡集成應用系統(包括信息源、信息傳輸網絡的安全)、企業人員信息技術安全(如信息決策者、使用者)、網絡管理人員信息化安全(涵蓋了網絡管理、權限分配等安全管理內容)。企業信息化安全的解決應在立足于人員管理的基礎上,致力于整個企業網絡的管理,并以此為目標規劃與建設安全、實用、高效的信息環境,為企業信息化帶動企業管理現代化保駕護航,推動企業的高速度、可持續發展。
1 網絡集成應用系統安全
本人所在單位的網絡集成應用系統是一個復雜體系,不可能精確地估計防御對象的規模與價值,無法簡單地對其加以標定界限,只有將網絡管理安全保障工作分解,落實到人,采取主動防御方式、方法才是上策。眾說周知,網絡安全信息防御是一個以保證信息整體安全的可預見性、靈敏性、可靠性和連續性為目標的工作,在面對網絡信息空間遭受可能的災難時,我們站在網絡管理者的角度應可以提供可靠的安全保障,同時作為各個信息安全的參與者能夠主動進行預見性的操作。
因此,現代信息技術發展所提出的信息安全問題,比傳統信息安全問題更加錯綜復雜,涉及因素和領域也更加廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人作為主角的主動型安全防御。[2]
2 企業人員信息技術安全
企業信息化離不開人的參與,同樣企業信息化所帶來的安全問題也離不開人的關注。“企業注重人才,人才注重管理。”當我們把員工培養成適應企業快速發展、掌握信息技術的人才后,更需要加強信息安全管理,提高計算機應用水平。因為“信息”是企業的重要財富,這一點是勿庸置疑的。信息系統的非安全因素有可能來自外部(以病毒、黑客攻擊的方式),或來自單位內部(來自同事、受信任的客戶等等所有接觸系統的人),工作人員出于好奇心可能會造成更大的威脅。[3]
上面的管理辦法便是從技術角度加強了人員的權限設置,其實最主要的人員信息化安全管理,還是對于配套制度的執行。目前,有關企業信息化標準的爭論有很多,這種標準會隨著技術手段和管理要求的不斷發展而變化。面對變化,企業出臺針對本企業安全級別的管理辦法,結合自身需求進行安全管理才是“以人為本”的上策。
3 網絡管理人員信息技術安全
信息技術安全是企業信息化安全管理的重中之重,這就給網管人員提出了更高的更全面的要求。在實際的網絡管理過程中,網絡管理應具有的功能非常廣泛,包括了很多方面。本人認為,針對我們所面臨的企業信息技術安全,網絡管理應包括四大功能:配置管理、性能管理、故障管理、安全管理。這四大功能是網絡管理的基本功能。事實上,網絡管理還應該包括其他一些功能,比如網絡規劃、網絡操作規范等。其中:
配置管理:自動發現網絡拓撲結構,構造和維護網絡系統的配置。監測網絡被管對象的狀態,完成網絡關鍵設備配置的語法檢查,配置自動生成和自動配置備份系統,對于配置的一致性進行嚴格的檢驗。
故障管理;過濾、歸并網絡事件,有效地發現、定位網絡故障,給出排錯建議與排錯工具,形成整套的故障發現、告警與處理機制。
性能管理:采集、分析網絡對象的性能數據,監測網絡對象的性能,對網絡線路質量進行分析。同時,統計網絡運行狀態信息,對網絡的使用發展作出評測、估計,為網絡進一步規劃與調整提供依據。
安全管理:結合使用用戶認證、訪問控制、數據傳輸、存儲的保密與完整性機制,以保障網絡管理系統本身的安全。維護系統日志,使系統的使用和網絡對象的修改有據可查。控制對網絡資源的訪問。
舉例來說,本人所在單位為盡量減小安全上的漏洞,我們配置管理采用了 VLAN方式,即各個部門劃分為不同的虛擬網段,沒有權限的用戶無法訪問其他網段。
VLAN(虛擬局域網)就是一個計算機網絡,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處于局域網的不同區域。VLAN更多的是通過軟件而非硬件來實現,因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制,減少了相對日常管理開銷,提供了更大的配置靈活性。VLAN的這些特性包括:①當用戶從一個地點移動到另一個地點時,簡化了配置操作和過程修改;②當網絡阻塞時,可以重新調節流量分布;③提供流量與廣播行為的詳細報告,同時統計VLAN邏輯區域的規模與組成;④提供根據實際情況在VLAN中增加和減少用戶的靈活性。
還有就是:我們的網絡管理可以通過網關(即邊界路由器)控制外來用戶對網絡資源的訪問,以防止外來的攻擊;通過告警事件的分析處理,以發現正在進行的可能的攻擊;通過安全漏洞檢擒來發現存在的安全隱患,以防患于未然。當然,我們這些操作手段可以借助于相應的網絡管理軟件,以提供給我們相關的技術保障。但在實際操作中,我也發現,單用一種軟件是無法實現的。比如IDS、基于SNMP技術的網絡拓撲、資產管理等等,這些技術需要我們一步步加強。還有像加強域的管理,充分利用現有軟件的功能,都是提高我們網絡管理的方式、方法,而這些工作地展開都要基于網管人員的素質和計算機應用水平。
綜上所述,不論是從網絡集成應用系統框架,還是人員信息化以及網絡管理者自身來看,企業信息化安全重在網絡管理,而網絡管理的核心是人,是整個信息化安全的參與者,只有“硬制度、軟管理”相互依托,主動預防、預見網絡不安全因素,讓所有參與者都意識到網絡安全管理對于企業信息安全的重要性,才是我們網絡管理的最終目的和有效保障。
參考文獻:
[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.
[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.
[3]侯炳輝,郝宏志.企業信息管理師[M].北京:機械工業出版社,2005(02):76-89.
篇3
在一些企業中普遍存在著各種各樣的網絡管理問題:
1、重建設投入輕管理維護。在進行企業信息系本論文由整理提供統建設中,一些企業存在著誤區,他們對機房、計算機、網絡通信設備等硬件舍得花錢投入,有時甚至達到非名牌、國外品牌不買,而對于網絡管理和系統維護往往重視不夠。“重建設輕管理”幾乎是MIS(管理信息系統)建設的通病了。在某超市企業整潔敞亮的計算機房里,服務器、工作站、交換機、路由器、Hub擺放有序,但是一談到網絡管理,技術主管卻大倒苦水:以前只有幾臺計算機搞搞進銷存、人事、工資等前后臺管理,隨著企業的發展,開始建設LAN,聯入網絡的計算機越來越多,網絡所承載的業務量也越來越大,發生故障的機率也越來越高,現在,原來的管理辦法已經很難滿足需求了。針對上述情況,我們認為:必須加大軟件的投入,引入高效率的網絡管理手段。
2、網絡管理工作的深層次思考。顧名思義,網絡管理就是管理好網絡,確保網絡的暢通。但現在面臨的情況是:企業的高度信息化,使企業的絕大部分業務流程如EDI、ERP、CRM等都在網上進行。這就對網管部門提出了更高的要求,不僅僅是保證網絡的連通就可以,還應有全局的目光,提供高附加值的網絡應用服務,包括提高網絡的“業務快速提供能力”、“業務質量保障能力”和“運行維護管理的低成本運作能力”,以適應和滿足業務的開展。有位網絡管理員曾這樣向我介紹他的工作:就是保證網絡通信是可靠的,能及時響應網絡故障,解決問題,安裝一些服務器端共享軟件等。從他說的話可以看出,在重視技術服務的同時,缺少與業務的溝通,缺少對業務流程的監管。而現代網絡管理的目標就是體現業務的規則。
3、網絡管理工作要變被動為主動。以“問題本論文由整理提供驅動”、“出現問題后再解決”的被動工作方法,是很難適應一些需要及時響應業務的企業的要求。市場競爭要求網絡部門的工作要從被動維護向為業務部門、為市場主動服務轉變,網絡服務質量要從內部測評考核向真正的用戶感受轉變。網絡部門要圍繞公司經營決策和業務發展,加強網絡運行分析,開展網絡延伸服務,為市場策略的制訂和調整提供有效的支持。圍繞業務部門的需求,分析網絡服務存在的問題,確定網絡優化的重點,采取一系列改進網絡服務的措施。隨著業務的迅速發展,系統的運行環境也相應的發生改變,新問題會不斷出現,這就要及時引入智能化管理的手段,如Cabletron的Spectrum,可以管理所有基于SNMP的網絡設備,實現網絡分析、智能故障預警,在網絡層面解決服務工作中出現的這些新問題。網絡管理工作還要開展網絡信息流量的監控和分析,及時掌握公司采用的新業務策略的效果,為公司調整策略提供支持。可以說通過網絡管理為企業發掘新的商業機會,這些工作是信息化經濟時代,企業開展電子商務對網絡管理的要求。
4、不兼容帶來的網絡孤島現象。首先出于商業原因,硬件設備廠商對網絡管理信息中的私有部分進行相互信息封鎖,使得各自提供的設備管理工具和網絡管理平臺,對競爭廠商的設備管理能力一般都比較弱,如果選用了不同的硬件設備廠商的產品,就不得不配置多個相互獨立的網絡管理系統,這就不可避免地造成了網絡管理系統之間出現孤島的現象。
另外,在現實中,各個企業的網絡結構也不盡相本論文由整理提供同。它們或許是一個幾乎沒有遠程辦公的小型的LAN;或許是以FDDI(或ATM)為主干,以太網、TokenRing、無線網,并有遠程訪問,甚至建有WEB站點的混合結構;或許是一個分布式環境,該環境中有許多運行于各種平臺的client/server(客戶機/服務器)應用,甚至是一個集中式與分布式相結合的混合環境。企業所開展關鍵業務流程如EDI(電子數據交換),要求供應鏈上的上、下游廠商的網絡必須互聯互通,但是因為彼此采用不兼容的硬件設備和網絡環境,所造成的孤島效應是可能存在的,已經嚴重影響網絡系統對業務支持的能力,造成企業的業務處理、管理控制和戰略管理不能很好地與外界溝通,也使企業在MIS的投資上產生浪費。實現網絡管理是一個漸進的過程,而且需要不菲的代價,目前解決管理孤島的最佳途徑就是引入全面的網絡管理系統NMS,對構成企業IT環境的所有資源實施端對端的可靠管理,簡而言之,就是以現有企業IT資源為中心,對復雜的異構環境同時使用LAN管理系統和企業管理系統。
二、面向業務的全面網絡管理系統
NMSNMS就是為網絡裝置提供的典型功能進行統一管理,可根據各自的面向對象和管理性能將其分為三類:第一類是簡單系統。這些系統是針對具體問題的針對性解決方案,包括一些較為簡單的產品,如pcAnywhere,或者也可能是一些管理用戶特定資產的系統,如Oracle數據庫。就單個系統來說,它們都很有價值,完全可以解決具體問題,且成本不高。
本論文由整理提供
第二類是LAN管理系統。這些系統提供范圍較廣的功能性,它包括網絡管理系統和系統管理系統。這類管理系統的產品包括HP''''sOpenView、Novell''''sManageWi本論文由整理提供se和Microsoft''''sSystemsManagementSuits(SMS)。對擁有小型網絡的公司所需的LAN管理方面,HP''''sOpenView在大多數方面超過SMS和Novell''''sManagewise,特別在集成性、可擴展性、問題管理和自動檢測上得到用戶的首肯。
第三類是企業管理系統。這類系統的典型代表是IBM''''sNetView和Cabletron''''sSpectrum.這些管理系統能在統一管理平臺上實現包括企業應用管理在內的網絡、操作系統、數據庫等多方面的管理。
在企業信息化的今天,網絡是企業的重要組成部分,可以說網絡就是業務。如何使網絡更好地服務于業務也是人們面臨的一個新的挑戰。全面的網絡管理方案能夠幫助企業確保網絡與服務的可用性,減低網絡維護和運行成本,增添新的業務機會,以及增強企業的競爭力等等,使網絡真正成為全面服務于業務的網絡。
三、企業網絡管理中的商業價值
一般來說,企業在網絡管理方面的投入將為企業帶來多方面的回報,包括網絡的高可用性、IT的投資回報率(ROI)及擁有成本(TCO)、企業的高附加值等方面。這也就是網絡管理的價值。
1、網絡的高可用性。網絡的可用性是指網絡不間本論文由整理提供斷運行的能力。高可用性可能意味著每周7天、每天24小時的持續操作。一方面要求網絡設備本身具有高可靠性(以平均無故障時間來衡量),另一方面從網絡管理入手,來實現一個高可用性的網絡。網絡的高可用性(包括應用和服務的可用性)對企業業務的影響是十分顯著的,需要及時響應業務的企業,必須要確保網絡高可用性。網絡不可用引起的業務損失在不同的企業會有所不同。一般地,實效性越強、業務越關鍵的系統,停機所帶來的損失越大,例如超市前臺收銀,后臺管理系統、銀行ATM系統、證券電子商務系統、旅客定票系統等。評估網絡可用性對業務的影響可以用一個簡單的公式來計算:網絡不可用造成的損失=(全年網絡非正常時間/企業全年作業時間)×企業全年收入例如,一個年營業收入為3000萬的公司,其網絡可用性為98%,即非正常時間占全年營業時間的2%,那么每年因為網絡不可用造成的損失約為2%×3000萬元=60萬元。
2、IT的投資回報率及總體擁有成本。在中國的信息化過程當中,很多企業需要別人的經驗,需要了解信息化的先進管理思想。大多數企業已經知道網絡能夠給他們的企業帶來利潤,但是上一個適合企業的IT系統到底要花多少錢?市場上眾多的IT產品到底哪些最好?選擇的IT系統好用嗎?什么是功能全的IT系統?價格怎樣考慮?他們心里沒有底,他們需要一個好用又買得起的IT系統。歸根結底,他們是要合理、經濟地控制好IT投資,尤其是在投資中控制好總擁有成本。解決這個問題的關鍵是要建立一個經濟評估機制,對各種存儲方法做投資回報率(ROI)和總體擁有成本評估。
絕大多數企業上信息系統時都是這樣花錢:信息化的最初需求不是企業級的,大多數公司都是從部門做起,比如,財務要進行電算化,倉庫需要管理等,因而最初的本論文由整理提供需求是面向功能的。但是這種起步自然而然就會產生信息孤島,怎么辦?開發接口。這樣一來,跨部門的業務成本提高了,產生的結果似乎是用了信息系統后,不但沒有省錢反而花錢更多了。這就是沒有認真考慮總擁有成本的結果。
企業究竟該如何投資?購買信息系統的錢應該花在什么地方?很多人認為購置一個信息系統,大部分錢應該花在購置硬件平臺、軟件、咨詢、實施和服務上。而根據總擁有成本的概念,購買軟件、硬件、咨詢服務的投入,只占整個投資的32%,而更多的費用投入在系統的網絡管理、技術支持和培訓方面。按照上述觀點建設的企業級信息系統,可以在良好的總擁有成本下獲得最大的投資回報率。
另外,IT的投資回報率也與網絡管理人員的工作效率有關。高效率的網絡管理系統,可以提高網絡管理人員的工作效率,減少他們用于“救火”的時間,使他們可以有更多的時間做其他的事情。
篇4
一、信息為源,創建網站管理的“總樞紐”
信息是一個企業網站建設的關鍵。建站之初,我們按照“統一規劃,協同建設,分級管理,資源共享”的原則,著重加強網絡信息管理,努力發揮信息服務領導、服務基層、服務機關的作用。
創建中心輻射的集群管理模式。以渤海鉆探主頁為中心,26個機關部室和23個基層單位為支撐,構建了依托中心、輻射全局的網絡管理格局。抓住“渤海鉆探”這個網站群中的核心站點,采取信息統一報送、欄目協同共建等方式,整合內部資源,實現了信息全面共享、技術全面合作,形成了管好一站、帶動全局的良性運轉機制。實踐證明,中心輻射的集群管理模式,有利于網絡信息和網站建設技術的集中管理、資源共享、全面交流,有利于網站建設質量和水平的不斷提升。
創建總分負責的信息維護模式。設立網絡新聞科,安排專職人員負責主網站信息、日常維護和管理;各職能部門和各二級單位負責各自網站的信息,并負責向主網站報送信息。加大了信息更新力度,主網站平均每天更新信息30條以上,使重要信息在第一時間及時,增強了信息的實效性。據統計,目前公司門戶日點擊率已達萬次以上,年累計點擊率達200萬次以上。實踐證明,總分負責的信息維護模式,有效解決了網站信息更新和維護的難題,避免了信息滯后,提高了信息質量和效率。
創建行之有效的考核評價模式。為了確保信息的更新維護工作落到實處,我們專門制訂了《網絡信息管理辦法》,將這項工作納入考核。通過評比,公司所屬各單位對門戶重視程度不斷增加,對所屬網站持續進行改版優化,建設水平有了較大提高。我公司領導高度重視網絡信息工作,將其作為上情下達、下情上傳、推動工作的重要渠道,對一些重要和有價值的信息,親自批示,提出要求。公司成立4年來,公司總經理秦永和對70余條信息分別做出批示,極大地提高了各單位上報信息、提高信息質量的積極性。實踐證明,考核評價模式的建立,有效調動了基層單位加強網站管理和上報網絡信息的積極性,確保了信息的及時更新和各項建設任務的有效落實。
創建嚴密可靠的安全保障模式。網站安全是網站的生命。在保障網站安全方面我們主要采取了以下措施:一是建立信息安全管理責任制。分別制訂了《門戶網站信息管理辦法》《外部網站管理辦法》等規章制度,對信息實施嚴格審核。主網信息由網絡新聞科負責把關;分網信息的采集、和更新,實行單位和專人負責制,確保的信息不;二是加強對網絡信息和網絡維護工作人員的教育和管理,增強信息安全保密意識。對可能的欄目,實行內部口令,堵塞漏洞;三是構建病毒防護體系,部署網絡防病毒軟件,從技術層面防范病毒侵擾和黑客攻擊。實踐證明,網站安全保障模式的建立,有效保障了信息的安全和網站安全運轉。
二、應用為本,構建網上辦公的“工作站”
應用是網站建設的一項主要功能。為把渤海鉆探網站建設成為公司網上辦事的“工作站”,我們堅持在以下幾個方面狠下功夫,不斷擴大網絡辦公范圍,提高工作效率和管控能力。
加大網絡辦公力度,推進辦公信息化。開通了財務管理、重點工作、承諾履職等24個管理平臺,實現了日常工作的網絡化管理。特別是在按照集團公司要求開展網上財務報銷、網上公文管理、網上合同管理、網上案件糾紛處置等網上辦公業務外,我們還增設了生產經營、鉆井數據、市場排行等管理平臺。各級管理、技術人員可以通過網絡對施工現場實施動態監測,組織專家進行網上“會診”,有效提高了管理效率。
建設互動平臺,督促重點工作落實。依托網絡媒介,積極搭建公司領導與職能部門之間、與基層單位之間互動管理平臺,設立了“政務督查”“安全督查”等專欄,實現了重點工作的交流“互動”與督促落實。
加強技術支持,實現協同辦公。為持續提高網站建設水平,專門成立了“門戶建設與完善”協同工作站,建立門戶組,定期組織人員進行門戶技術討論交流,及時推廣新技術和好經驗。充分利用門戶系統資源,深入開發自定義列表、高級WEB控件等特色門戶應用功能,協同制作開發了HSE承諾履職、安全督查等特色欄目,為辦公業務電子化提供了有力支撐。在“市場排行”“強達爭”專題等欄目中應用XML等新技術,有效地減少了維護人員的工作量。開通了電子郵件系統、即時通訊系統,提高了工作效率,減少了成本支出。
三、服務為基,打造企業形象的“展示臺”
一個企業網站建設得好不好,版式的設計、頁面的美觀和功能的強大十分重要。建站之初我們就把公司網站作為對外宣傳和形象展示的有效載體,努力為廣大瀏覽者提供“一站式”“自”“全天候”的服務。
精心設計版面。在找準定位、明確建網宗旨的基礎上,精心策劃搞好網站版面的設計。在規劃總體結構、設計欄目方面,我們堅持網站標識、動態圖片突出鉆探特色;頁面設計莊重、大方,欄目名稱清晰、直觀,各級欄目之間層次分明;信息方便查詢和維護。目前,我公司主網站設立了8個大類35個具體欄目。通過不斷豐富服務、精選欄目,滿足了公司對外形象展示的需要。
做精特色專題。為集中推動工作,營造輿論氛圍,公司圍繞不同時期重點工作,先后制作特色專題80余個,有效促進了各項工作的開展。特別是公司每年突出一條主線,制作一個統領全年工作的專題,如2009年制作了“保增長、渡難關、促發展”專題;2010年制作了“五大戰役”專題;2011年制作了“六大工程”專題;2012年制作了“六建設六提升”專題,安排專人每天進行信息維護和更新,年終進行考核評比,為保障年度任務目標的完成營造了良好輿論氛圍,有效推動了各項工作的開展。
設立服務專欄。為完善個性化服務,調整信息服務結構,讓瀏覽者使用更簡單,信息獲取更方便,我們開辟了電子公文協同工作站、計算機病毒防御與安全等21個服務欄目,其中專業英語水平考試參考、在線翻譯、騰訊通和VPN管理辦法及使用說明等,為英語與計算機愛好者提供了學習的平臺;鏈接了手機、學歷、列車時刻、IP地址、違章處罰等查詢網站,努力為瀏覽者提供方便快捷的服務;與30個石油石化企業、4家商務網站和中國石油報等6家石油期刊網站建立了鏈接,方便了瀏覽者快速查詢各類信息。
篇5
關鍵詞:計算機網絡;安全;常用技術;解決措施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-8937(2013)06-0053-02
1 計算機網絡安全
隨著計算機技術和Internet技術的擴展和普及,計算機網絡在人們的學習、工作和生活諸方面都產生了巨大作用,人們對計算機網絡的依賴性越來越凸顯。而由于計算機網絡在聯結形式的多樣性和終端分布不均勻性,加上網絡自身的開放性、互連性等特征,使得無論是在局域網還是廣域網中,都存在諸多的網絡安全威脅。數據丟失、系統被破壞、機密被盜等問題日益增多,病毒傳輸擴散、黑客惡意攻擊、網絡違法犯罪等事件頻頻出現,“熊貓燒香”,“金豬拜年”等事件,企業單位計算機系統癱瘓、機密文件被盜,隱私泄露等不時存在,計算機網絡安全成為亟待解決的問題。
計算機網絡安全技術是指通過各種網絡管理控制和技術措施,使網絡系統保持正常運行,確保數據在網絡環境中的可使用性、保密性及完整性[1]。計算機網絡安全包括四個方面的內容,即操作系統安全、物理安全、邏輯安全和網絡傳輸安全。而從廣義看,只要是涉及到計算機網絡上保障信息的保密性、完整性、可用性、真實性和可控性等的技術都應屬于計算機網絡安全技術問題。計算機網絡安全技術是由病毒防范、防火墻等安全組件組成,單個的組件無法確保網絡信息的安全。計算機網絡安全技術主要包括防火墻技術、數據加密、入侵檢測、身份認證、病毒防護查殺和虛擬專用網等方面。目前防火墻技術、數據加密技術、PKI技術等已廣泛應用到計算機網絡安全防護中,發展已較為成熟。
2 常用的計算機網絡安全技術
早期僅通過網絡邊界控制和檢查流徑信息的方法不足以保證計算機網絡安全,需要我們利用各種技術措施和控制管理辦法共同保證網絡信息安全,今天,快速發展和普遍應用的計算機網絡安全技術主要包括:網絡入侵檢測技術、網絡安全掃描技術、網絡加密技術、防火墻技術、身份驗證技術和網絡防病毒技術等。
2.1 網絡入侵安全檢測
網絡入侵安全檢測是指在網絡邊界端監視并在可能的時候,阻止網絡另一端試圖控制或破壞你的系統以及網絡資源的行徑。入侵檢測有兩類:一類是網絡入侵檢測系統,它置于網絡邊界,靠近網絡程序監測網絡流量信息,并判斷是否正常和提示是否阻止;另一類主機入侵檢測系統,它運行在被監測的程序之上,用以監測和判斷計算機中正在運行的系統程序是否合法。網絡人侵檢測技術也稱為網絡實時監控技術,一旦檢測系統發現正在運行的進程或網絡流量上的信息有被攻擊的跡象,便馬上作出反應,例如彈出提示窗口訪問用戶、斷開網絡連接,或通知防火墻系統過濾人侵的數據包和對方位控制策略進行調整等。
2.2 網絡安全掃描技術
網絡安全掃描技術是通過對網絡的掃描與防火墻、入侵檢測系統互相配合的重要網絡安全技術。網絡管理員通過網絡安全掃描能夠根據掃描的結果及時發現網絡安全漏洞和系統錯誤,防范黑客的進攻。通過應用網絡安全掃描技術,無論是對局域網絡、Web站點還是在主機操作系統,防火墻系統的安全漏洞都可以進行安全掃描,系統管理員能及時了解和掌握各種不安全的網絡信息和服務程序,以及可能導致拒絕服務攻擊的惡意攻擊和安全漏洞。
2.3 網絡防火墻技術
防火墻技術 網絡防火墻技術指軟件或與硬件設備組合而成的,主要用來加強網絡與外部網絡之間訪問的檢查控制,以及限制和防止外界用戶以非法手段進入內部網絡使用內部網絡資源,并能夠保護內部網絡環境信息安全的網絡互聯技術。防火墻能過濾不安全的服務,防火墻系統能夠隔離內部網絡與Internet,以及內部網絡不同網段,防火墻可以記錄下所有通過它的訪問,當這些訪問發生不正常動作時,防火墻會做出適當的報警,防止內部網絡的信息外泄。網絡防火墻對網絡之間傳輸的數據包,如按照定義的安全策略來檢查網絡鏈接方式,以判斷網絡之間的連接通信是否合法和被允許,并實時監視網絡運行狀態。近年來如入侵檢測、安全掃描等各種網絡安全技術得到發展應用,但目前,防火墻系統是計算機網絡安全技術中最常用、實用的技術。
2.4 網絡防病毒技術及應用
計算機在強大互聯網絡環境下,防范網絡病毒問題顯得非常重要。網絡病毒破壞力很大,而且很難恢復遭病毒破壞過的網絡,甚至使計算機癱瘓。防范網絡病毒,目前主要有三種方法,其一,基于網絡目錄和文件安全性方法。根據不同的計算機和目錄及文件操作能力,設置訪問權限和屬性,保護公用目錄中的系統和文件的的修改權和管理權,防止病毒感染;其二,采用工作站防病毒芯片。這種方法將有防病毒功能的芯片安裝在網絡工作站上,以便事實防護工作站及其進出路徑;其三,基于服務器的防毒技術。服務器是整個網絡的核心,目前的NLM技術以NLM模塊方式進行程序設計,以服務器為基礎,提供實時掃描病毒能力,其目的都是為保護服務器,使服務器不被感染。
2.5 身份認證技術
身份認證是用戶向系統證明身份同時系統對用戶查核身份的過程,屬于安全管理機制,身份認證分為基于密碼、基于地址的認證,智能卡認證,雙因素身份認證,生物特征身份認證等。身份認證協議是基于TCP/IP的Internet的安全認證協議。身份認證過程中,Kerberos通過網絡對稱密鑰加密算法,產生計算機網絡中訪問和通信雙方有效身份認證。Kerberos技術目前得到廣泛推廣應用于Internet和Intranet服務的安全訪問,在網絡安全保護技術中具有高度的安全性、透明性、和可靠性等優點。
2.6 數據加密技術
開放的網絡環境下,網絡數據加密技術比較靈活,主要用于動態信息的保護,分為對稱加密和非對稱加密。在實際應用中,有常規密碼和公鑰密碼,數字簽名(Digital Signature)技術應用公開密鑰加密技術,將發送方的私有密鑰加密報文,并與原始信息混合成為數字簽名,發送后需要接收方解密來確認發送方。通過數字簽名能夠確保報文發送的完整性和權威性,以及實現對報文的驗證,廣泛應用于銀行、電子商務等;數字證書主要用以證實用戶身份證實和網絡訪問權限,由CA機構發行,人們可以用這個證書來識別網絡用戶的身份;近年來PKI技術利用數字公鑰加密技術,是電子商務、電子中相對安全的技術,能夠解決網絡信息機密性、真實性、存取控制性、完整性、不可否認性的問題,是電子商務、電子政務、電子事物的密碼技術的首選。網絡數字加密技術目前網絡安全技術中最有效的技術之一,技術水平要求高,一個被加密的網絡,可以有效防范病毒和惡意軟件的攻擊,也可以防止網絡非法搭線竊聽和非法入網。
2.7 虛擬局域網(ULAN)和虛擬專用網(VPN)
VLAN(Virtual Local Area Network)和VPN(Virtnal Private Network)技術分別在局域網和公共網絡建立一個邏輯上的獨立的物理子網。VLAN能夠防止基于網絡入侵的監聽。VPN 技術基于IP協議,在Internet上可以建立PVPNo VPN保證網絡中使用虛擬專用網來機密通信。他們都廣泛適用于企業網絡信息安全管理。
3 計算機網絡安全技術存在的問題及解決措施
3.1 計算機網絡安全技術存在的問題
操作系統自身管理的模塊或程序如果存在問題,而外部網絡連接到有缺陷的模塊,會導致計算機系統癱瘓;操作系統支持在線傳送文件、加載或安裝程序,如果這些文件和程序在編寫過程中出現漏洞,同樣會導致系統崩潰;操作系統不安全的另一個原因是支持某個進程的遠程創建和激活,有可能導致在遠程服務端被安裝“間諜”軟件。而目前普遍使用的操作系統包括Unix服務器、NT服務器及Windows桌面PC等也存在有網絡安全漏洞。TCP/IP協議具有脆弱性,協議設計之初的網絡環境與現在相比沒有存在如此多的網絡威脅。除此之外,還存在的問題有網絡硬件的配置不協調、網絡結構的不安全性、管理制度不健全、用戶缺乏安全意識等問題。
3.2 解決計算機網絡安全的措施
①建立健全計算機網絡安全管理政策法規和制度。只有有法可依,有度可循,計算機網絡安全才能有根本保障。
②做好實際中計算機網絡安全技術的需求分析。只有明確網絡安全保證的需求,才能建立發展有效地管理制度和控制技術。
③制定網絡安全防范策略,增強用戶信息安全保護意識。
④改善現有的網絡安全體系,完善和加強網絡加密等技術,建立專業的網絡安全服務機構,提供可靠的身份證明和網絡安全預警。
⑤加強安全管理隊伍的建設,實時維護和核查計算機網絡安全。無論在什么樣的環境下,絕對的網絡安全是不存在的,因此,必須對現有網絡進行嚴格的安全管理和網絡安全核查。
4 結 語
計算機網絡安全技術在各個方面和領域已經有了較成熟的發展和應用,但在目前的計算機網絡環境下,網絡安全仍然不容樂觀,保證計算機網絡安全,需要技術、設備、管理和制度等多方面共同努力,形成系統的有效的保證計算機網絡安全的制度。從計算機網絡安全的技術層面講,還有艱巨的任務,防火墻的局限性、操作系統的缺陷和不安全、TCP/IP協議的脆弱等,在各項技術突破和發展的同時,只有將入侵檢測、安全掃描、病毒防范、防火墻、網絡加密等技術綜合應用到計算機網絡安全防護中,才能使網絡系統保持正常運行,確保數據在網絡環境中的可使用性、保密性及完整性。
參考文獻:
[1] 劉云志.淺析計算機網絡安全技術及其存在的問題[J].系統安全,2012,(20):73-74.
[2] 何勇,諶昌強.計算機網絡安全與安全技術[J].信陽農業高等專科學校學報,2007,17(3):128-129.
[3] 郭敏.關于計算機網絡安全技術的思考[J].網絡技術,2012,(5):55-57.
篇6
關鍵詞:油田,車輛安全管理,模式
Abstract: with the oil use is increasing day by day, oil field work of further expand the business scope, oil field traffic safety accident occurs frequently, and this makes the oil field traffic under unprecedented pressure. This paper, combined with the practice, puts forward the innovation oilfield safety management mode of thinking vehicles, to improve and optimize oilfield vehicle safety management to provide the reference.
Keywords: oilfield, vehicle safety management, model
中圖分類號:TE346 文獻標識碼:A文章編號:
0.引言
隨著石油使用量的日趨增加,油田工作業務范圍的進一步擴大,油田的交通安全事故時有發生,這使得油田交通面臨前所未有的壓力。本文結合實踐,提出了創新油田車輛安全管理模式的思路,為提高和優化油田車輛安全管理提供了借鑒。
1、油田監控系統的使用
社會的進步,帶來了科技的飛速發展。像其他給社會帶來重大影響的發明一樣,監控系統的出現,為社會帶來了一次新的技術革命,各大機關、企業、事業、學校、公共場所等紛紛安裝監控,以對該區域形成一種有效管理,監控當初被普目遍使用的最大目的就是用于監視,以防止偷盜等的違法犯罪的發生,從而對其進行有效遏制,監控在整個社會得到了廣泛的應用。但隨著人們對監控系統的進一步認識,監控不僅能有效減少偷盜等違法犯罪的發生,還被用于進行車輛管理,用于取證工作,為交通安全管理提供了一種新型有效的管理模式,同時為車輛安全管理部門提供了一種有效和管理手段。而辦公自動化系統與車載(GPS)的信息共享為車輛安全管理部門監控車輛安全行駛提供了切實可行的查詢方法。新的管理模式的在車輛安全管理部門的應用具有重要的現實意義,我們對其研究的目的是更好地使其為油田車輛安全管理服務。
目前油田車輛多、流量大、難管理,還有部分油田運輸車輛在晚上實施運輸作業,安全隱患難以避免,油田的特殊情況使得油田車輛急需規范管理,而傳統的像抽查、檢查等交通安全管理辦法,受天氣情況、人為因素等的影響較大,解決這個問題的途徑是采用監控及車載GPS,這不僅有效節約人力,更能從根本上減少人為因素的影響,為一些工作的公平、公正奠定了良好的基礎。再者,監控不僅不受自然因素的影響,還能提供對車輛的實時監控以及全程監控,對于習慣性違章行為、超速等違規行為以及交通事故及肇事逃逸等行為都無一遺漏地進行監控,這種做法的實施,在心理上約束駕駛員盡可能地不違規開車,以減少交通安全事故的發生,其次監控的使用能為交通安全取證提供真實的依據。
2、車載GPS在車輛安全管理中的應用
2.1車載GPS是全球衛星定位技術,我們結合有著豐富的通訊網絡資源的有利條件,建成了一個實時高效、定位準確、運行穩定的車輛管理平臺來對車輛進行有效的監控管理。油田通信GPS管理系統可以用瀏覽器或軟件進行登錄,油田下屬分公司也可通過企業網或互聯網登錄服務器,實現部分管理功能。通過專門的監控機器,還可以接收到轄區全部車輛上傳實數據,通過服務器還可以對下屬公司的賬戶及管理權限進行更改。服務器由油田通信部門負責管理和維護,相應軟件的維護和升級也由他人完成,這不僅保證了服務器的正常運行,也使軟件得到及時的升級。
2.2在監控主機上,不同級別的用戶具有不同的使用用權限,用戶所能實現的管理功能,包括車輛各種信息的管理,統計報表的生成,修改、添加賬戶,同時還可以實現安全監控,調度通知、軌跡查詢,智能監控等。通過該網絡管理方式,用戶使用互聯網自行完成。并且可實時選擇車輛對其位置進行監控。
另外,該系統還可進行安全報警提示管理。如超速報警、緊急報警、越界報警等,在油田根據GPS管理系統要求,為油田車輛劃定了行駛區,當車輛駛離規定區域,系統可進行報警提示。根并據油田的地理、地勢特點,對于不同區域制訂不同的限速標準,車輛行駛過程中如果出現了超速行駛現象,系統也會進行的報警提示,這一系列措施的開展,為車輛安全管理提供了可供參考的現實依據,為油田車輛安全管理作出了巨大的貢獻。
2.3該系統可以讀取車輛行駛里程數,然后根據耗油量進行數據分析,最終核算車輛的營運成本,通過分析車輛的營運成本,運輸戶可以充分掌握車輛的運輸成本,從而通采取相應措施降低營運成本,獲取最大收益,從而實現車輛的經濟運行,從中賺取更多的利潤。
2.4該系統通過辦公自動化與車載GPS信息共享實現車輛審批功能。在油田車輛管理實際中,可以實現用車審批的起草、復核、審批、接收簽名、簽收動態監控、多級轉發、打印等多種功能。在功能實現的具體過程中,具有嚴格的權限控制,具有不同權限的管理人員具有不同的文件處理功能,管理人員權限是系統管理員根據使用系統人員的使用需求而設置的,當然這種設置可以修改。審批文件的信息根據不同的等級進行,當然,以不同身份登錄的人可的信息完全等級不同,這要根據管理人員的權利進行設置。系統流程靈活,用戶可以根據實際情況對文件的批閱以及傳輸流程進行設定。管理員可以通過辦公自動化系統實現對GPS系統的自動登錄。通過辦公自動化系統可以對用戶進行授權,得到授權的用戶,可直接由辦公自動化系統進入到GPS系統,GPS這種人性化的設計,既能滿足不同用戶有使用權限設置,又方便了領導進行車輛的實時查詢,為油田車輛安全管理工作帶來了很大的方便。在辦公自動化系統里可以實現節假日用車審批、路單審批、長途車審批、雪天行車審批等功能,審批完成后將審批結果寫入數據庫設置的臨時表里,GPS通過數據庫自動讀取辦公自動化車輛審批結果信息,根據所讀到的結果信息將未經審批出車的車輛信息放在出車信息平臺報警提示,這種管理方式,能夠幫助管理部門及時、準確地掌握車輛信息,有效監督車輛的安全、合法行駛,為油田車輛安全管理奠定了良好的基礎。
3、辦公自動化與車載GPS信息共享管理理論
目前,隨著車輛數量的急劇增加,車輛調度管理問題成為擺在人們面前的一個重要問題。車輛的增加,必然存在車輛流動性的增加問題,另外也由于機動車輛本身危險性會給公司帶來一定的麻煩和的損失以及可能由此引發的事故。由于傳統管理模式的存在,使得一些鉆管理的漏洞,出私車現象時有發生,這不僅在耗油上和保養上給公司帶來了損失,如果出現事故,還會對油田造成不好的影響。而辦公自動化與車載GPS信息共享,可以有效解決這種矛盾,管理人員可以隨時了解在辦公自動化違章信息界面自動生成的車輛日報,了解相關的信息,同時這種做法也減少了工作部門的工作量。公司的GPS車輛監控管理系統與辦公自動化信息共享有效幫助管理者實現了車輛實時監控,避免人為管理障礙,為實現油田交通安全管理的創新實踐提供了新的思路。
參考文獻
[1] 萬智民,張益民.現代油田企業安全與環保標準體系[J].當代石油石化,2006(14):32~35
[2] 陳立海,申曉莉.談油田HSE體系管理[J].安全,2009(3):34~36.
[3]單明敬,張永紅,魏英杰,陳小新,王凌冰.油田作業安全管理常見問題及對策[J].安全與環境工程,2009(1):85~87.
篇7
本畢業設計(論文)、學位論文作者愿意遵守浙江科技學院 關于保留、使用學位論文的管理辦法及規定,允許畢業設計(論文)、學位論文被查閱。本人授權 浙江科技學院 可以將畢業設計(論文)、學位論文的全部或部分內容編入有關數據庫在校園網內傳播,可以采用影印、縮印或掃描等復制手段保存、匯編畢業設計(論文)、學位論文。
(保密的學位論文在解密后適用本授權書)
論文作者簽名: 導師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內 容 摘 要
本文針對浙江廣播電視集團網絡,以及集團網絡安全的建設、改造提出了相應的解決方案,并且從網絡和網絡安全兩個主要方面進行了相關的闡述。首先,對在本方案中可能使用到的計算機網絡、及網絡安全的相關技術進行了闡述、分析和比較。然后,對集團中的計算機網絡、以及網絡安全的現狀進行調查研究。其次,針對浙江廣播電視集團的網絡現狀進行了詳細的需求分析。最后,提出了一套針對浙江廣播電視集團計算機網絡、以及網絡安全實際情況的網絡、及網絡安全的詳細設計方案。實施本方案之后,有助于提高其計算機網絡系統的可靠性、以及網絡的安全性。
關鍵詞:網絡系統,數據安全,網絡安全,局域網
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 錄
第一章 引言 1
第一節 選題背景與意義 1
第二節 集團網絡安全發展與現狀 1
第三節 網絡安全相關技術介紹 2
第二章 集團網絡安全系統概況及風險分析 4
第一節 集團網絡機房環境 4
第二節 網絡應用數據備份 4
第三節 網絡安全弱點分析 5
第四節 網絡安全風險分析 6
第三章 集團網絡安全需求與安全目標 7
第一節 網絡安全需求分析 7
第二節 網絡安全目標 7
第四章 集團網絡安全解決方案設計 9
第一節 網絡監控管理系統 9
第二節 電子郵件安全解決方案 9
第三節 遠程數據傳輸的加密 10
第四節 服務器的安全防護 11
第五節 計算機病毒防護的加強 14
第六節 網絡攻擊及防護演示效果圖 15
第五章 結束語 17
參考文獻 18
致 謝 19
第一章 引言
第一節 選題背景與意義
隨著互聯網的普及度越來越高,全世界的計算機都能通過互聯網連接到一起。各種網上活動的日益頻繁,使得網絡安全問題日益突出,信息安全成為了一個重要的課題。各種各樣的網絡攻擊層出不窮,如何防止網絡攻擊,保障各項業務的順利進行,為廣大用戶提供一個安全的網絡環境變得尤為重要。
本論文針對浙江廣播電視集團的計算機網絡、以及網絡安全的實際解決方案。在實施了本方案之后,有助于提高集團計算機網絡系統的可靠性、以及網絡的安全性。認真分析網絡面臨的威脅,計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎之上,再采用先進的技術和產品,構造全方位的防御機制,使系統在最理想的狀態下運行。
第二節 集團網絡安全發展與現狀
圖1-1網絡拓撲圖
浙江廣播電視集團作為省級廣電傳媒集團,現有計算機網絡于2002年10月建成,在集團的運作和管理中發揮著重要的作用。近年來隨著集團業務的發展,網絡應用的不斷深入,應用領域較以前傳統的、小型的業務系統逐漸向大型、關鍵業務系統方向擴展。大部分子系統已接入網絡,遠程數據傳輸、集團資料共享、動態數據查詢、流媒體數據業務、集團網站運營等都在該網絡上傳輸,整個網絡的用戶規模是原計算機網絡規模的數十倍。隨著網絡規模的不斷擴大、接入點數量的增多、內部網絡中存在的安全隱患問題就會愈加突出,安全日益成為影響網絡效能的重要問題,而互聯網所具有的開放性、國際性和自由性在增加應用自由度的同時,對自身網絡的安全性提出了更高的要求。雖然廣電集團前期的網絡建設有一定的安全措施,但因為網絡復雜性的逐步提高,網絡中存在隱患的可能性以及由此產生的危害性也大大提高,因此在網絡系統的進一步建設過程中,及時查清網絡隱患的必要性就體現了出來。
第三節 網絡安全相關技術介紹
要保證計算機網絡系統的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
一、防火墻技術
為保證網絡安全,防止外部網對內部網的非法入侵,在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統,該系統可以設定哪些內部服務可已被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。它可監測、限制、更改跨越防火墻的數據流,確認其來源及去處, 檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其主要有:數據包過濾、監測型、服務器等幾大類型。
二、數據加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之 一。隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用不同, 數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
三、認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發送者或接收者的身份。認證的主要目的有兩個:第一,驗證信息的發送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數字簽名。
四、虛擬專用網絡(VPN)技術
虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
VPN技術主要提供在公網上的安全的雙向通訊,采用透明的加密方案以保證數據的完整性和保密性。
VPN技術的工作原理:VPN系統可使分布在不同地方的專用網絡在不可信任的公共網絡上實現安全通信,它采用復雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。
五、計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
(一)較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種,在各種操作系統中包括Windows、 UNIX和Netware系統都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統環境下的病毒,具有查毒、殺毒范圍廣、能力強的特點。
(二)完善的升級服務。與其它軟件相比,防病毒軟件更需要不斷地更新升級,以查殺層出不窮的計算機病毒。
第二章 集團網絡安全系統概況及風險分析
第一節 集團網絡機房環境
目前,浙江廣播電視集團計算機網絡絕大多數的設備都是安放在新大樓13樓機房內的,只有樓層交換機是分布在各樓層的設備機柜中。根據本文的現場勘察和了解,目前大多數信息機房在機房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經作了很多的考慮,主要有如下方面:
一、網絡機房都作了可靠的防雷措施,建設有防雷接地網,其接地電阻小于1歐姆;大樓頂部建設有避雷針。
二、所有從網絡機房大樓外接入網絡機房的數據信號,全部采用光纖接入。
三、網絡機房內大多配備UPS電源系統。
四、機房內鋪設防靜電地板、吊頂,對墻面進行了無塵處理。
五、安裝機房防盜監控系統。
六、配備機房消防系統和應急照明系統。
七、所有樓層交換機的供電都是由機房內 UPS 通過專用的線路直接供電,與樓層內的其它電源系統沒有任何連接。
第二節 網絡應用數據備份
在廣電集團的計算機網絡中大多己經有功能數據備份與恢復系統,它是一套基于磁帶介質的備份與恢復系統,有2套文件備份的License和1套Oracle數據庫備份的License,進行服務器的文件備份和Oracle數據庫的實時備份和恢復。
浙江廣電集團網絡中已經有了以下幾個網絡安全方面的考慮:
一、病毒防護
網絡中使用了諾頓病毒防護系統,該病毒防御系統是基于網絡的病毒防護系統,在網絡內能夠遠程的安裝網絡客戶端的病毒防護軟件,進行病毒特征庫的自動更新,集中控制和管理。但是,網絡中的病毒防護系統沒有集中控制和管理的控制臺,不能實時了解網絡中防病毒客戶端程序的安裝情況、病毒感染和爆發的情況。
二、外網接入安全防護
網絡目前大多沒有單獨的外網接入點,沒有自己的外網接入安全防護,使用統一的出口和安全策略。
三、入侵檢測系統
在集團總部局域網與其他網絡連接處采用的一套入侵檢測系統具體部署如圖2-1
圖2-1 廣電集團入侵檢測系統示意圖
第三節 網絡安全弱點分析
浙江廣電集團網絡系統安全弱點主要包括:
一、硬件弱點: 硬件隱患存在于服務器、終瑞、路由器、交換機和安全設備等設備中,一旦發生硬件的安全問題,將給主機和網絡系統的可靠性、可控性、可用性和安全性等造成嚴重損害。
二、操作系統弱點: 由于操作系統自身的漏洞和缺陷可能構成安全隱患。操作系統是計算機應用程序執行的基本平臺,一旦操作系統被滲透,就能夠破壞所有安全措施。靠打補丁開發的操作系統不能夠從根本上解決安全問題,動態連接給廠商提供開發空間的同時為黑客開啟了方便之門。
三、數據庫系統弱點: 由于數據庫系統本身的漏洞和缺陷可能構成的安全隱患。
四、網絡系統弱點: TCP/IP協議本身的開放性導致網絡存在安全隱患。如:TCP/IP 數據通信協議集本身就存在著安全缺點,如:大多數底層協議采用廣播方式,網上任何設備均可能竊聽到情報; 協議規程中缺乏可靠的對通信雙方身份認證手段,無法確定信息包地址真偽導致身份“假冒”可能;由于TCP 連接建立時服務器初始序號的可推測性,使得黑客可以由“后門”進入系統漏洞。
五、通用軟件系統弱點:如Web服務器等常用應用軟件本身可能存在的安全弱點。
六、業務系統弱點: 節目視頻業務系統等本身的“Bug”或缺陷可能構成弱點。
七、安全設計的弱點: 安全設計不周全可能構成系統防護的弱點,由于安全漏洞的動態性和安全威脅的增長性要求以及安全需求本身的限制,安全體系設計要求具有良好的可擴展性和動態自適應性。
八、管理弱點: 工具不多,技術水平不高,意識淡薄,人員不到位。
第四節 網絡安全風險分析
網絡本身所固有的結構復雜、高度開放、邊界脆弱和管理困難等特點,增加了廣電集團網絡系統的安全風險。
由于網絡自身的開放性和廣電集團網絡系統的特殊性使網絡系統存在很大的安全風險性,主要有:
一、人為因素:
未經授權訪問重要信息
惡意破壞重要數據
數據竊取、數據篡改
利用網絡設計和協議漏洞進行網絡攻擊
假冒、偽造、欺騙、敲詐、勒索
內部人員惡意泄露重要的信息
管理員失職
二、自然因素:
設備的老化
火災、水災 (包括供水故障)
爆炸、煙霧、灰塵
通風
供電中斷
電磁輻射、靜電
以上都可能引起設備的失效、損壞,造成線路擁塞和系統癱瘓等。
第三章 集團網絡安全需求與安全目標
第一節 網絡安全需求分析
為了確保廣電集團網絡系統的安全,其安全需求可以從安全管理層面、物理安全層面、系統安全層面、網絡安全層面、應用安全層面等方面來分析。
從安全管理要求來分析,要考慮政策、法規、制度、管理權限和級別劃分、安全培訓等,特別要考慮基層人員計算機水平不高,系統設計和培訓等方面要周密考慮,制定切實有效的管理制度和運行維護機制。
從物理安全要求來分析,要根據浙江廣電集團實際情況,確定各物理實體的安全級別,建立相應的安全防護機制。
從系統安全需求來分析,需要解決操作系統安全、數據庫系統安全、TCP/IP 等協議的安全、系統缺陷、病毒防范等問題。
從網絡安全需求來分析,要考慮系統掃描、入侵檢測、設備監控和安全審計等,要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機密性,撥號線路的保密性和身份鑒別。
從應用安全和信息安全需求來分析,要解決重要終端用戶數據的加密、數據的完整性、數據的訪問控制和授權以及數據承載終端設備 (各種計算機、筆記本電腦、無線WAP終端及其它終端設備) 以及其中運行的操作系統的安全可靠。
因此,廣電集團網絡系統安全要重點做好以下幾方面的工作,同時也是本安全方案的設計需要解決的問題:
一、解決內部外部系統間的入侵檢測、信息過濾 (防止有害信息的傳播)、網絡隔離問題;
二、解決內部外部黑客針對網絡基礎設施、主機系統和應用服務的各種攻擊所造成的網絡或系統不可用、信息泄密、數據篡改 等所帶來的問題;
三、解決重要信息的備份和系統的病毒防范等問題;
四、建立系統安全運行所匹配的管理制度和各種規范條例;
五、建立健全浙江廣電集團網絡系統安全培訓制度及程序等方面的問題;
六、解決浙江廣電集團和其它相關單位部門網絡信息交流帶來的安全問題。
第二節 網絡安全目標
計算機網絡的安全問題與單臺計算機的安全在實際中存在著非常大的差別。網絡不是分裝在一個機箱內,存在著傳輸系統的地域分布問題。這些傳輸通信系統可以是有線的,也可以是無線的。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問題。從攻擊的手段來看,攻擊種類和機制非常多。訪問控制和鑒別也比單臺計算機困難,網絡安全要特別重視防截獲,防泄露和信息加密的實施。
目前所采用的網絡防護方法也就是在進入計算機操作系統控制中的網絡訪問和網絡協議上實施的。
網絡防護的基本服務: 網絡訪問控制(MAC)、鑒別、數據保密性、數據完整性、行為的完整性、抗抵賴性、可用性等。
網絡安全的目的是保護在網絡系統中存儲、傳輸和處理的信息的安全,概括為確保信息的完整性、保密性、可用性和不可抵賴性。
信息的保密性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的查看;
信息的完整性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的改變;
信息的可用性和可靠性指的是在計算機網絡系統中存儲、傳輸和處理的信息為授權用戶提供及時、方便、有效的服務;
信息的不可抵賴性指的是內部人員對信息的操作不可抵賴。
為了更加完整的執行上述網絡信息安全的思想,防止來自集團內部局域網上的攻擊,又由于浙江廣電集團網絡連接關系復雜、網絡設備多,使用租用的國內的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環節。因此要做到以下幾個要求:
1) 防止計算機病毒的蔓延
集團網絡眾多的用戶,可能由于內部管理上疏忽,裝入未經殺毒處理的軟
件或是從因特網上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等,這些都對計算機網絡系統安全構成嚴重威脅。病毒廣泛地傳播,將造成網絡軟硬件設備的損害以至于整個網絡系統癱瘓。
2) 加強網絡安全的動態防護
網絡黑客攻擊手段、計算機病毒等都處于不斷的發展和變化中,使用目前的安全保密技術和產品是難以構造一種絕對安全、無縫隙和一勞永逸的網絡系統的。因此,安全的網絡系統必須具有網絡安全漏洞的檢測和監控功能。通過安全檢測、監控手段,及時發現網絡安全漏洞和各種惡意的攻擊手段,及時提供修補系統漏洞的建議并阻斷來自內外的非法使用和攻擊。
3) 保障集團內部業務系統的安全穩定
由于涉及省臺與各地方臺的視頻傳輸,不可避免的會遇上各種各樣的問題,因此,在網絡層對業務的安全要保障得力,并且要確認信息傳輸的安全穩定。
第四章 集團網絡安全解決方案設計
第一節 網絡監控管理系統
由于浙江廣電集團的網絡建設已有很多年的時間了,其很多網絡設備都自帶了監控及管理軟件或工具,但是這些工具在問題發生之后很難解決問題。而網絡監控管理系統的實時映射、網絡瓶頸通知和設備失敗通知卻可以幫助用戶快速隔離問題,并且在員工抱怨之前解決問題。
這里對推薦的美國 CA 公司的網絡監控管理系統 (Unicenter Network & System Management)所能夠達到的功能簡單地說明一下:通過 TCP/IP 協議,不需要專門的培訓,用戶就可以配置該網絡監控管理系統,啟動網絡監視管理功能后,能夠監控的網絡設備包括工作站、服務器、主機、網橋、路由器、集線器、打印機等在內的幾乎所有網絡元件。當用戶決定使用該網絡監控管理系統軟件時,首先可以通過該軟件的網絡探查功能,能夠全面查看用戶網絡的底層構件,確認整個網絡的體系結構,并以一種可描述可管理的模式定位所有的網絡設備,并將這些設備存儲起來,迅速繪出網絡結構圖,同時啟動設備的監控,而這些過程都是自動生成的,非常簡單易用,可操作性強,這對于網絡設備非常多、而專業網絡管理人員較少的企業來說就顯得非常重要。
在這個過程中,首先通過該網絡監控管理系統 24X7 的全時設備輪詢網絡監視功能,迅速識別網絡元件的任何問題,當監測到問題時,可以不同的顏色顯示出來,并以通過手機、e-mail、聲音警報通知管理人員,同時根據各網絡元件相互之間的依賴關系,自動關閉與 有問題網絡元件之后的所有網絡元件的連接,減少冗余數據數量,避免冗余通知。此外,還能對網絡元件的潛在問題、網頁的正確性、可用性、網絡的性能以及系統資源進行有效的監控管理。
當網絡監控管理系統識別網絡失效時,在向相關人員發送警報及通知時,該軟件還可啟動一個程序來定位網絡失效。因此,當狀況被隔離之后,一個特定的應用程序或者腳本程序就會被執行,或許是重啟這個服務或許是重啟計算機。這個進程是自動的,因此當相關人員收到設備失效的通知時,相應的措施已經采取了,管理人員不用回到辦公室,因為當管理人員在收到通知時已經知道問題己經解決了。
在這一系列監控與管理過程中,網絡監控管理系統都能自動生成監控及管理日志,并對系統的使用情況與趨勢形成報告,以便用戶形成較為完善的系統化管理,提升工作效率。
第二節 電子郵件安全解決方案
解決電子郵件安全問題,我們需要從三個方面來考慮如何應對:
1) 對帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵;
2) 對進出郵件系統的所有郵件進行備份,用于監控和備查;
3) 對敏感的郵件內容進行加密傳輸,防備在傳遞路徑上的惡意窺伺。
對集團來講,現實的方法是結合現有的成熟技術,組合出一個在經濟上和技術上合理的解決方案,同時要保證長期的維保成本。郵件系統的安全解決方案包括如下三個部分:
1、電子郵件安全網關技術方案
通過郵件安全網關的部署,在病毒程序、垃圾郵件等不良信息進入集團郵件系統之前,便對其進行遏制、阻截,從而保證集團電子郵件系統的安全穩定運行,節省郵件系統存儲空間,避免機密的泄漏。
在郵件網關硬件系統上整合郵件反病毒引擎,對進入集團郵件系統的電子郵件進行病毒檢測,采取郵件隔離、刪除以及清除病毒等操作,減少病毒對郵件服務器的攻擊。應根據互聯網最新病毒發展趨勢,定時升級郵件網關病毒庫。
2、郵件備份系統技術方案
在集團現有郵件系統的基礎上,實現對指定時間內(如最近一年)所有收發郵件的備份,并且管理員根據郵件信息摘要(例如:發件人、收件人、主題、日期、附件名稱等)進行檢索和查看郵件全部內容。
3、郵件加密系統技術方案
保護重要電子郵件不被泄密,防止內部人員未經許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密。保證工作效率,在盡量不改變使用者收發郵件操作習慣的基礎上,保證電子郵件正常暢通使用。
考慮到文件安全擴展的需求,除電子郵件之外,信息泄密還有多種途徑。在保護郵件安全的基礎上,要考慮到日后系統的擴展性。
郵件安全管理系統綜合動態加解密技術、訪問權限控制技術、使用權限控制技術、期限控制技術、身份認證技術、操作日志管理技術、硬件綁定技術等多種技術對電子郵件進行保護。
第三節 遠程數據傳輸的加密
建立基于SSL VPN技術加密訪問系統,使得從Internet到內部網絡的訪問使用SSL VPN數據加密通道,保證數據在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產品的廠家很多,但是本文認為在SSL VPN技術的先進性、加密傳輸的速率、以及廠家的技術服務等方面,Juniper的Netscreen SA 1000具有相對的優勢,是其它廠家無法比的。
Juniper 網絡公司SSL VPN產品家族的Netscreen-SA 1000系列,使企業可以部署經濟高效的遠程接入、外聯網及內聯網安全性。用戶可從任何標準 Web瀏覽器接入企業網絡和應用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機制,SSL是所有標準Web瀏覽器中使用的安全協議。使用SSL使客戶無需部署客戶端軟件、無需更改內部服務器,也無需進行成本高昂的長期維護。NetScreen-SA 1000產品提供先進的合作伙伴喀戶外聯網特性,以控制用戶或用戶組的網絡訪問,無需更改基礎設施、無需部署DMZ 、也無需軟件。這項功能還允許公司安全接入企業內聯網,使管理員可以根據不同員工、承包商和訪問者所需的資源來限制他們的接入權限。
NetScreen-SA 1000系列解決方案的主要特性與優勢如下:
一、端到端分層安全性
端點客戶端、設備、數據和服務器的分層安全性控制,Juniper網絡公司 Endpoint Defense Initiative(端點防御計劃),用于提供最高的端點安全性可以根據用戶組或角色、網絡、設備及會話屬性來規定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務器,幾乎不需要長期維護。從單一平臺安全地遠程接入內聯網和外聯網安全的外聯網接入,無需構建 DMZ、無需加固服務器、無需復制資源、或無需增加部署來添加應用或用戶簡化
二、可管理性
(一)集中管理選項提供統一管理
(二)用戶自助服務功能,可降低技術支持服務窗口的支持成本
(三)細粒度的審計和日志記錄
(四)3 種不同的接入方法,允許管理員根據具體目的來設置接入權限
(五)基于角色分配管理任務
三、高可用性
群集對部署選項,可為整個LAN和WAN提供高可用性。
第四節 服務器的安全防護
一、業務服務器的安全防護
(一)防火墻的安裝
這里將在Catalyst 4506交換機與服務器群的交換機之間安裝一臺高性能的防火墻,并根據服務器群中的每臺服務器的應用系統的情況,在該防火墻上進行一對一的安全策略配置的工作。
(二)入侵檢測系統的安裝
這里將在服務器群的交換機上配置一個偵聽端口,將流經該交換機所有端口的數據包都復制一份傳送到偵聽端口上;再把入侵檢測系統連接到該偵聽端口,接收該端口輸出的所有數據包,并對這些數據包進行入侵分析、判斷和記錄。本文將負責完成入侵檢測安裝配置工作。
二、涉及到的設備選擇
(一)防火墻的選擇
防火墻的類型主要有:數據包過濾、監測型、服務器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級產品,其技術基于網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2)型
型防火墻也能夠被稱為服務器,它的安全性要高過包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到集團內部網絡系統。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。它的缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
本文將選用業界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術參數如表4-1
表 4-1 NetScreen 5200 防火墻技術參數表
物性/功能 NetScreen-5200
接口數 2個XFE 1OGigE,或8個Mini-GBIC, 或2個Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會話數 1,000,000
最多VPN 隧道數 30,000
最多策略數 4000,000
最多虛擬系統數 5
最多虛擬LAN 數 4000
最多安全區域數 默認設置為16個,最多增加1000個
最多虛擬路由器數 默認設置為3個,最多增加500個
支持的高可用性模式 主用/備用
支持的路由協議 OSPF, BGP, RIRV1/V2
深層檢測 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測系統的選擇
這里選用國內擁有領先安全技術水平的天融信千兆級入侵檢測系統NGIDS-UF。其主要的技術指標如表4-2
表4-2 NGIDS-UF 入侵檢測系統技術指標表
型號 NGIDS-UF
類別 千兆IDS
規格 2U 機架式
網絡接口 1個10/100Base-TX: 2個千兆光纖
2wh 10/100/1000Base-TX
串口 1個RS-232C
第五節 計算機病毒防護的加強
一、在原有的病毒防護系統增加集中管理控制臺
新增一臺服務器,在上面安裝一套諾頓的病毒防護的集中管理控制臺。這里將安裝該服務器系統和諾頓的集中管理控制的軟件系統。
二、增加網絡病毒防火墻
在每個樓層交換機的上聯端接入一臺網絡病毒防火墻,對局域網內的病毒進行區域控制:在二級單位廣域網入口處安裝一臺網絡病毒防火墻,保障二級單位的廣域網線路不會受到病毒數據包的影響。
涉及到的設備選擇:
(一)諾頓的防病毒集中管理控制臺
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網絡防病毒系統的客戶端軟件。
(二)網絡病毒防火墻
目前有趨勢相關的硬件產品出售,并且該產品還能夠與諾頓的網絡防病毒客戶端軟件進行聯動。所以本文選擇部署趨勢的NVW1200網路病毒防火墻。該網絡病毒防火墻的主要功能如下:
1.執行免的安全策略
網絡病毒墻對非兼容設備進行隔離修正,以確保所有設備在進入網絡前都安裝有最新的防病毒及關鍵的操作系統補丁。執行免的安全策略可減少管理負荷,并可同時降低被合作伙伴或VPN用戶的非兼容設備感染的風險。
2.漏洞隔離
網絡病毒墻根據Trend Micro的漏洞評估功能,隔離網絡蠕蟲可利用的潛在環節,使管理者有選擇地隔離薄弱(未安裝不定程序)的網絡段或設施,避免病毒的爆發。網絡病毒墻提供漏洞評估服務,并將該功能作為一個可選項。
3.靈活的、集中式管理
網絡病毒墻包括趨勢科技企業安全管控中心、及一個集中式、基于網絡的管理控制臺,它根據主機安裝永久的需要實施安全更新部署。該服務可以自動部署、或點擊管理控制臺的選項進行手工部署。
4.網絡掃描及偵測
網絡病毒墻通過掃描網絡流量查找蠕蟲及漏洞利用,并基于趨勢實驗室提供的最新病毒碼來自動清除感染的網絡數據包。另外,網絡病毒墻利用趨勢科技先進的啟發式技術對您的網絡實施監控,并提供威脅的早期預警。
5.網絡病毒爆發監控
網絡病毒墻通過實時監控網絡流量或可疑活動來提供早期的威脅預警。并在中心控制臺上發出病毒爆發通知,立即提示管理者蠕蟲攻擊目標、受感染的主機、或具體的受攻擊的漏洞。
6.網絡病毒爆發防御
網絡病毒墻部署了Trend Micro病毒爆發防御服務,通過阻絕任何蠕蟲傳播組合,包括8地址或地址范圍、端口及協議、即時通訊渠道、文件類型擴展名、及文件傳遞。
7.自動清除損害
網絡病毒墻通過隔離感染的網絡段、主機、或客戶,進行清除及修正,阻止了再次感染。憑借自動、免清除蠕蟲(木馬)痕跡、及系統文件配置(system.ini)修復功能,Trend Micro的清除損害服務可以防止再次感染,降低清除成本。
第六節 網絡攻擊及防護演示效果圖
圖4-3網絡攻擊及防護演示效果圖
針對浙江廣電集團的網絡結構,當出現如下各類情況時解決方案如圖4-3所示:
1、 漏洞掃描-識別攻擊行為
2、 上傳病毒/木馬-修復系統漏洞
3、 啟用后臺服務監聽-防病毒軟件
4、 遠程控制服務器-防火墻入侵檢測
5、 攻擊業務系統-防火墻、雙機容錯
6、 破壞系統數據-備份、災難恢復
7、 客戶端中毒-防病毒軟件
第五章 結束語
計算機網絡的可靠性和安全性是在不斷地變化的,不同的時期或者階段對網絡的可靠性和安全性方面的要求是不一樣的。在網絡的建設之初,集團網絡關心最多的是網絡的連通性,只需要網絡能夠傳送數據即可,對于網絡數據的延遲lunwen .1 kejian .com 一以及網絡短時間的中斷都沒有過多的要求:當網絡中存在著涉及到集團的關鍵性應用系統時,就對網絡數據的延遲時間、以及網絡的中斷時間上就有了很高的要求,在一般情況下,為了保障集團應用系統的連續運行,集團網絡系統是不允許發生網絡中斷的。因此,本文在方案的設計中就已經考慮到要符合目前的、以 及將來的網絡應用系統的需要,同時本文設計的網絡系統的可靠性和安全性可以根據集團網絡業務系統的需要進行相關的調整,滿足變化之后的網絡業務系統的要求。
本方案是一個針對浙江廣電集團目前計算機網絡現狀的網絡、及網絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于集團網絡環境、以及網絡應用系統的變化,會在細節上根據實際情況進行相應的調整,如:安裝設備數量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。同時,本方案在設計、以及設備的選型上,己經做了今后擴展的考慮。
本方案并沒有解決浙江廣電集團計算機網絡、以及網絡安全方面的所有問題,隨著計算機網絡、及網絡安全的技術不斷地發展,以及集團網絡應用系統不斷地新增,集團業務系統也會對集團的計算機網絡系統的結構和網絡安全方面提出更高的要求,實現后滿足集團實際的需要。
【參考文獻】
[1] 張國清.CCNP BSCI詳解.北京:電子工業出版社,2006.
[2] 拉斯特.網絡安全基礎[M].北京:中國郵電出版社,2006.
[3] 常曉波.CISCO網絡安全.北京:清華大學出版社,2004.
[4] 王達.網管員必讀——網絡安全.電子工業出版社. 2007.
[5] 《非常掌上寶系列》編委會.數據備份恢復與系統重裝一條龍.北京:科學出版社,2005.
[6] 張公忠.現代網絡技術教程北京:電子工業出版社,2004.
[7] 飛科研發中心.電腦防毒防黑急救.北京:電子工業出版社,2002
[8] 黃志暉.計算機網絡管理與維護全攻略.西安:西安電子科技大學出版社,2004.
[9] 歐陽江林.計算機網絡實訓教程,北京:電子工業出版社,2004.
[10] 金純.IEEE802.11無線局域網北京:電子工業出版社,2004
[11] 施裕琴.網絡安全的入侵檢測系統及發展研究.集團經濟研究2006,(27):25-26.
[12] 董凱虹.網絡監控管理系統的功能.計算機世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術及其實現.北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學出版社,2005.8
[15] 麥肯蘭勃.網絡安全評估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹向所有給予我指導、關心、支持和幫助的老師、領導、同學和親人致以崇高的敬意和深深的感謝!
首先感謝導師顧忠偉老師一直以來對我的學習、工作和生活所給予的無私關心、悉心指導和嚴格要求。尤其在論文的完成階段,得到顧老師的耐心指導和嚴格把關。顧老師嚴謹的治學態度、求實的工作作風、平易近人的處世風范都深深影響了我。在此謹向顧老師表示最衷心的感謝和最誠摯的敬意!
感謝浙江廣電集團科技管理部計算機科的同事,他們結合自己多年的計算機系統與網絡安全的相關經驗,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對我實習中的幫助。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間,得到了負責集團網絡工作的蔣老師的大力支持,他根據自己多年實際工作的經驗,為我的論文寫作、改進工作提出了許多有價值的寶貴建議,在此對蔣老師表示感謝!
感謝經濟管理學院的各位老師、同學在學習工作等諸方面的支持和幫助,這一切使我在學習期間深受教益。
最后,深深地感謝我的家人旦他們在生活和學業上給了我無私的關懷,為了支持我的學業,付出了莫大犧牲。惟乞此文能夠回報這些無比的關心和厚愛!
