⑴ 基於安全策略的企業網路設計的探討
目前,網路安全的技術主要包括防火牆技術、加密技術、身份驗證、存取控制、殺毒軟體、數據的完整性控制和安全協議等內容。針對校園網來說,存在較大的成本投入問題,不可能將所有的安全技術應用到網路中,在網路規劃階段可以針對最主要的安全問題進行設計防範。在網路設計階段可以採取防火牆技術、VLAN技術、殺毒軟體、網站過濾技術等。
樓主可以就上述技術在網路規劃設計階段如何進行設計進行探討。
以下參考!!!!!!!!!!!!
引言
信息技術日新月異的今天,網路技術發展迅猛,信息傳輸已經不僅僅局限於單純文本數據,數字數據
的傳輸,隨之而來的是視頻,音頻等多媒體技術的廣泛運用。隨著技術的發展,網路設備性能和傳輸介質容量有了極大的提高,但是由於用戶需求的日益提高,網路環境的日益復雜,使得網路規劃成為一項越發困難的課題,作為校園園區網的規劃成敗與否,將直接影響到學校教育網路系統性能的高低,從而影響教學進程和教學效果,下面主要對校園園區網的規劃思想進行探討。
1. 校園園區網規劃介紹
校園園區網規劃是校園網進行工程組網的前期准備工作,它的內容涉及到整項網路工程的重要步驟,是網路設計的核心與靈魂,校園園區網優良的長遠規劃和最佳的實現選擇是校園網長期高效能運營的基礎。目前,校園園區網中技術應用主要為輔助管理,教學科研,internet信息服務,以及網路技術探索應用四大類,由於總體的規劃所涉及到的技術因數繁多,因而校園園區網規劃應當實地考察,調研,通過反復論證,結合當今技術及發展方向,提出總體規劃設想,規劃既要適應當前的應用,又要反映未來需求,規劃應當考慮經濟,環境,人文,資源等多方面因素,以合理需求為原則。
2. 校園園區網規劃實施計劃
2.1 了解用戶,收集信息
網路規劃的目的在於收集一線信息的基礎上給出合理可行的設計方案,如戰場指揮,運籌帷幄,決
勝千里,其關鍵之處在於廣泛收集信息,全面合理的規劃校園園區網需認真考慮三點因素:
(1)學校歷史網路資源信息,當前網路規劃設計計劃,領先的技術方向,運營機制和管理辦法,滿足未來網路的高度擴展計劃及其特點
(2)了解學校校園網路的使用者分別是誰?他們各自的知識層次如何?以及他們對計算機的使用觀點和使用頻率如何?他們對當前的網路態度和看法如何?這一點將為日後培訓和安排多少人員進行網路的技術支持和維護起導向作用。
(3)明確網路規模:有哪些校區,哪些部門,多少網路用戶,哪些資源需要上網,採用什麼檔次的設備而又在資金預算范圍內,不同部門之間的信息流向問題,不同時刻網路流量及流量峰值問題,確定網路終端數量及位置,共享數據的存儲位置和哪些人要用這些數據等基本狀況等
(4)找出用戶與用戶,用戶與資源,資源與資源之間的內在關系,相關信息,這是校園網設計的前提和依據,是規劃的核心思想,作為一個龐大的校園網,如何使得設計的網路便於教學需求和管理應用,教學網與管理網各自安全運作,相互兼容,而又不矛盾?這一點尤為重要。
2.2 分析需求,提出網路設計原則
2.2.1 需求分析
教育行業有著自身的特殊性,校園園區網對整個網路性能要求相對較高,校園園區網組建需滿足對數字,語音,圖形圖象等多媒體技術的寬泛應用,以及綜合科研信息的傳輸和處理需求的綜合數字網,並能符合多種協議的要求,其體系應當符合國際標准(如TCP/IP協議,Novell IPX協議等),同時能兼容已有的網路環境,因此設計組網前,應對各方面需求總結歸納,做出細致分析:
(1)內部光纜主幹需求:規劃需分析綜合布線系統及其子系統,主配線間MDF與二及配線間IDF的位置,不同類別的伺服器位置等。
(2)應用管理需求:能夠讓管理人員從繁瑣的文字處理中徹底解脫出去,以計算機信息系統交流和日常事物,構建公文系統,日常辦公系統,檔案系統,電子郵件等功能,且需操作簡單,便於使用。滿足視頻點播,語音教學,多媒體課件等教學需求,具備基本的Internet訪問等。
(3)網路流量需求:要求校園園區網有足夠的網路吞吐量來滿足教學任務,保證信息的高質高效率傳輸,校園網流量涉及到,語音教學,多媒體課件,伺服器訪問,Web瀏覽,視頻點播等,對帶寬需求和時延性要求極高。
(4)網路安全需求:校園網路必須有完善的安全管理機制,能夠確保網路內部可靠運行,還要防止來自外部的和來自內部的非法訪問和入侵,保證關鍵資料庫的存儲安全
2.2.2 提出設計原則
(1)網路可靠性原則:
網路設計過程中網路拓撲應採用穩定可靠的形式,如:雙路由網路拓撲,環行網路結構。因為它們即可冗餘備份,安全性又可以得到保障,核心層交換可採用高端交換設備和光纖技術的主幹鏈路(TRUNK)來實現較高的容錯性,這樣就可以避免單點故障的出現,網路結構使用雙鏈路,雙核心交換設備,雙路由備份可靠措施,都可以使校園網可靠性和實用性得到大大的提高
(2)網路可擴展性原則:
校園園區網擴展性包含2層意思(一):新的教學部門能簡單的接入現有網路 (二):升級新技術的應用能夠無逢的在現有網路上運行
可見,規劃校園園區網路時不但要分析當前的技術指標,而且要對未來的網路增長情況做出估計和預算,以滿足新的需求,保證網路可靠性,從而保證校園正常的教學秩序
(3)網路實用性和可管理性原則:
校園園區網系統設計在性能價格比方面要體現系統的實用性,可採用先進的設備,但有要在資金允許的條件下實現建網的目標,校園園區網應基於簡單網路管理協議(SNMP),並支持管理信息庫(MIB),利用圖形化,可視化管理界面和操作方式,易於管理,這也正體現出了實用性原則,合理的網路規劃策略,可提供強大的管理
功能,能使管理一體化進行,這就便於日後的校園網更新與維護
(4)網路安全性原則
1.對物理層及網路拓撲結構,操作系統及應用軟體要求具備相應的安全檢測機制,邊界網關應該構築防火牆,安裝殺毒軟體,對網關路由器進行必要的安全性過濾,如訪問控制列表ACL配置,用戶身份認證,數據加密,密鑰等技術來實現校園園區網的安全化
2.採用靜態虛擬區域網技術(靜態VLAN)加強內網的管理,因為VLAN是基於邏輯劃分而非物理地理劃分,這就有效的控制了各個網段的相互訪問,從而保證了內網的安全性,同時VLAN又可抑制不必要的廣播,從而節約了帶寬,又便於管理
3.以TCP/IP四層網際模型為框架建立持續過程的網路安全性措施運行機制,做到維護網路,監測網路,測試網路,改進網路四位一體的網路持續性保衛工作,它是網路安全性管理的核心思想,如圖所示:
應用層
傳輸層
網際層
internet層
網路接入
圖(1)以TCP/IP模型構建持續性網路安全管理方式
3. 總結失敗項目,明確網路規劃的必要性
當前很多學校紛紛建立自己的校園網,但由於組網設計前期規劃工作做的不徹底,不扎實,使得校園
網發揮效益不大,巨大的投資沒有換來實實在在的成效收益。這一點在中小學校園網建設上體現的較為明顯,其原因主要三點:
(1)認識不到為
學校對校園網概念定義缺乏認識,帶有盲目性和自我偏見性,沒有明確建校園網的目的,不曉得校
園網到底起什麼樣的實質性作用。
(2)投資方案不合理
由於對校園園區網建設認識不正確,使得很多學校出現「重硬體,輕軟體」的現象,結果校園園區網建設成了基於硬體設備的校園網組網解決方案,是純粹的設備集合。而對建網後的維護極不重視,後期的管理投入所佔比例微乎其微,所以使得校園網不能很好的服務與教學和管理,甚至還會使整個網路趨於崩潰。
(3)缺乏有效的組織管理和實施手段
校園園區網的建設不僅僅涉及到技術問題,還會引起更深層次的變革,而學校在建設校園園區網時,認識不充分,在新技術,新思想面前不能及時轉變觀念,沒有行之有效的組織管理和實施手段。
基於上述三點指出:盲目的進行校園網建設,不採取合理的規劃,都會導致校園網建設失敗,一個成功的校園網規劃應當是集穩定開放的網路平台,量身定製的應用軟體,有效的組織實施方案三位於一體的的校園園區網建設過程。
4. 總結
校園園區網應順應時代教育思想的革命,在網路技術上具備響應的本質特徵,教育的一個基本特徵是打破時間和地域的限制,面向全體社會成員,這就要求規劃校園園區網路時必須站的高,看的遠,時刻明確思想定位和技術定位,本文主要探討了如何行之有效的規劃一個滿足教學,科研,管理全方面高效新型校園園區網,並指明規劃思想。總之,未來校園園區區域網的規劃目標,規劃方向應該是建成一個集IP服務,寬頻光傳輸且提供服務的運營級多功能網路
參考文獻:[1]王竹林等 . 校園網組網與管理<M> 清華大學出版社 . 2001出版
[2]思科網路技術教程(三. 四)學期 人民郵電出版社 2002出版
[3]http://www.net130.com.cn
[4]方東權 . 楊巋 . 校園網路安全與管理[J]. 網路安全與技術 2005第51期
⑵ 企業網路常見的攻擊手法和防護措施
隨著Internet/Intranet技術的飛速發展和廣泛應用,網路安全問題愈來愈突出,已成為當前的一大技術熱點。黑客技術的公開和有組織化,以及網路的開放性使得網路受到攻擊的威脅越來越大。而企業對這一問題嚴重性的認識和所具備的應付能力還遠遠不夠。加上管理不當,應用人員水平參差不齊,沒有有效的方式控制網路的安全狀況,企業理想中的安全與實際的安全程度存在巨大的差距。
1、網路安全面臨的威脅
(1)、人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)、人為的惡意攻擊,來自內部的攻擊者往往會對內部網安全造成最大的威脅,因為他們本身就是單位內部人員,對單位的業務流程,應用系統,網路結構甚至是網路系統管理非常熟悉,而這些人員對Intranet發起攻擊的成功率可能最高,造成的損失最大,所以這部分攻擊者應該成為我們要防範的主要目標。
(3)、網路軟體的漏洞和「後門」網路軟體不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過的黑客攻入網路內部的事件大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,可一旦「後門」洞開,其造成的後果將不堪設想。
(4)、互聯網路的不安全因素,國際互聯網路是跨越時空的,所以安全問題也是跨越時空的。雖然我們國家的網路不發達,但是我們遭到的安全危險卻是同國外一樣的,這是一個很嚴重的問題。在不同的行業,所遭受的攻擊因行業和網路服務的不同而不同。在電信或者ICP市場,進攻服務系統比較多;而在銀行業,對數據系統的進攻相對更頻繁;政府方面,對服務的進攻,尤其是其信息發布系統很頻繁。
(5)、病毒入侵,目前,網路病毒種類繁多,病毒很容易通過互聯網或其他途徑(如通過各接入點、日常維護操作、磁碟、其他外網)進入網路內部各伺服器,造成網路擁塞、業務中斷、系統崩潰。而現在流行的各種新型網路病毒,將網路蠕蟲、計算機病毒、木馬程序合為一體,發展到融和了多種技術於一體,互相利用和協同,已不僅僅是單一的攻擊和漏洞利用,使系統自身防不勝防。病毒發作對系統數據的破壞性、和系統本身都將會造成很大的影響。
2、網路攻擊的一般方法
從黑客的角度來看,黑客可以利用的方式多種多樣,包括:
(1)使用探察軟體,猜測和分析操作系統類別、網路提供服務、網路的結構等;
(2)使用強制攻擊軟體對網路進行攻擊,例如針對POP的強行的密碼猜解,SQL的密碼猜解等;
(3)使用漏洞掃描工具,發現漏洞,進而採用緩存溢出等手段直接或者間接的獲取系統超級用戶許可權;如系統平台自身由於漏洞被黑客利用,將直接導致全廠業務服務的中斷。
(4)使用木馬進行非法連接;
(5)利用疏忽的資料庫簡單配置,例如超級管理員密碼簡單甚至為空或者用戶密碼和用戶名相同等漏洞,獲取資料庫的某些許可權,進而獲得系統的許可權。
(6)利用可信任的關系進行攻擊,例如深圳電信網站的某些資料庫設定的訪問地址,這樣黑客可以先攻擊這些被資料庫信任的地址進行逐「跳」的攻擊。
(7)DDOS攻擊,使用各種工具進行洪水攻擊;利用漏洞的拒絕服務攻擊。
3、企業網路安全防護措施
根據企業網路系統的實際防護需要,必須保護的內容包括:Web主機(門戶網站、OA系統等基於Web訪問的主機),資料庫主機,郵件伺服器等,網路入口,內部網路檢測。對企業重要的是有效防護Web伺服器的非法訪問和網頁被非法修改,防護資料庫伺服器數據被非授權用戶非法訪問或被黑客篡改、刪除。一旦發現伺服器遭入侵或網頁被篡改,能進行及時報警和恢復處理。
(1)防火牆,在外部網路同內部網路之間應設置防火牆設備。如通過防火牆過濾進出網路的數據;對進出網路的訪問行為進行控制和阻斷;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的監測和告警。禁止外部用戶進入內部網路,訪問內部機器;保證外部用戶可以且只能訪問到某些指定的公開信息;限制內部用戶只能訪問到某些特定的Intenet資源,如WWW服務、FTP服務、TELNET服務等;防火牆產品本身具有很強的抗攻擊能力。使用硬體防火牆,管理和維護更加方便有效。
(2)、入侵檢測系統,企業內部主機操作系統種類一般在兩種以上,而目前漏洞攻擊手法大部分是基於操作系統已有的安全漏洞進行攻擊,通過使用防火牆設備可以防範大部分的黑客攻擊,但是有些攻擊手法是通過防火牆上開啟的正常服務來實現的,而且防火牆不能防範內部用戶的惡意行為和誤操作。通過使用入侵檢測系統,可以監視用戶和系統的運行狀態,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,並提示管理員修補漏洞;對用戶非法活動的統計分析,發現攻擊行為的規律;檢查系統程序和數據的一致性和正確性;能夠實時對檢測到的攻擊行為進行反應。
(3)網路漏洞掃描入侵者一般總是通過尋找網路中的安全漏洞來尋找入侵點。進行系統自身的脆弱性檢查的主要目的是先於入侵者發現漏洞並及時彌補,從而進行安全防護。由於網路是動態變化的:網路結構不斷發生變化、主機軟體不斷更新和增添;所以,我們必須經常利用網路漏洞掃描器對網路設備進行自動的安全漏洞檢測和分析,包括:應用伺服器、WWW伺服器、郵件伺服器、DNS伺服器、資料庫伺服器、重要的文件伺服器及交換機等網路設備,通過模擬黑客攻擊手法,探測網路設備中存在的弱點和漏洞,提醒安全管理員,及時完善安全策略,降低安全風險。
(4)、防病毒系統要防止計算機病毒在網路上傳播、擴散,需要從Internet、郵件、文件伺服器和用戶終端四個方面來切斷病毒源,才能保證整個網路免除計算機病毒的干擾,避免網路上有害信息、垃圾信息的大量產生與傳播。單純的殺毒軟體都是單一版系統,只能在單台計算機上使用,只能保證病毒出現後將其殺滅,不能阻止病毒的傳播和未知病毒的感染;若一個用戶沒有這些殺毒軟體,它將成為一個病毒傳染源,影響其它用戶,網路傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來考慮,才能較好的達到徹底預防和清除病毒的目的。
因此,使用網路防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進出企業網的病毒、郵件病毒進行有效的清除,並提供基於網路的單機殺毒能力。網路病毒防護系統能保證病毒庫的及時更新,以及對未知病毒的稽查。另外,要提高網路運行的管理水平,有效地、全方位地保障網路安全。
4、企業網路安全解決方案
廣義的計算機系統安全的范圍很廣,它不僅包括計算機系統本身,還包括自然災害(如雷電、地震、火災等),物理損壞(如硬碟損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故等。
狹義的系統安全包括計算機主機系統和網路系統上的主機、網路設備和某些終端設備的安全問題,主要針對對這些系統的攻擊、偵聽、欺騙等非法手段的防護。以下所有的計算機系統安全均是狹義的系統安全范疇。規劃企業網路安全方案,要根據企業的網路現狀和網路安全需求,結合網路安全分析,一是需要加強對網路出口安全方面的控制和管理,防止安全事故的發生;二是加強內部網路訪問控制,以業務分工來規劃網路,限制網路用戶的訪問范圍;同時增加網路安全檢測設備,對用戶的非法訪問進行監控。我們建議,企業的安全解決方案一般應有下面一些做法:
(1)在Internet接入處,放置高性能硬體防火牆(包括防火牆+帶寬管理+流探測+互動IDS等)。防火牆要支持包過濾和應用級代理兩種技術,具有三種管理方式,能夠很方便的設置防火牆的各種安全策略,並且能夠與網路入侵檢測系統進行互動,相互配合,阻擋黑客的攻擊。
(2)在內網快速以大網交換機上連接一個網路入侵檢測系統,對進入內網的數據包進行檢查,確保沒有惡意的數據包進入,從而影響內網數據伺服器的正常工作。
(3)使用互聯網入侵檢測系統對DMZ區和內網的伺服器(包括Web伺服器/應用伺服器、數據伺服器、DNS伺服器、郵件伺服器和管理伺服器等),以及桌面計算機進行掃描和評估,進行人工安全分析,以確定其存在的各種安全隱患和漏洞,並根據掃描的結果提出加固建議,保護企業網路系統的正常工作。
(4)在各主要伺服器上安裝伺服器防病毒產品,對伺服器進行病毒防護,確保病毒不會進入各伺服器,並且不會通過伺服器進行傳播。
(5)用一台專用的PC伺服器安裝伺服器防病毒系統,並在內網上安裝工作站防病毒產品,通過伺服器防病毒系統對這些工作站進行管理和升級。
⑶ 網路安全規劃有那些
網路安全的實質就是安全立法、安全管理和安全技術的綜合實施。這三個層次體現了安全策略的限制、監視和保障職能。根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素,參照SSE-CMM(系統安全工程能力成熟模型)和ISO17799(信息安全管理標准)等國際標准,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面,在網路安全方案整體規劃中應遵循下列十大原則。
(1)整體性原則。
(2)均衡性原則。
(3)有效性與實用性原則。
(4)等級性原則。
(5)易操作性原則。
(6)技術與管理相結合原則。
(7)統籌規劃,分步實施原則。
(8)動態化原則。
(9)可評價性原則。
(10)多重保護原則。
總之,在進行計算機網路工程系統安全規劃與設計時,重點是網路安全策略的制定,保證系統的安全性和可用性,同時要考慮系統的擴展和升級能力,並兼顧系統的可管理性等。
⑷ 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
⑸ 如何做好網路安全工作
1、完善網路安全機制
制定《網路安全管理制度》,設立公司網路與信息化管理機構,負責網路設施和信息系統的運維管理。堅持做好網路與信息安全風險評估和定期巡查,制定網路安全應急預案,健全網路安全事件聯動機制,提高公司網路安全應急處理能力。
通過計算機入網申請登記表、網路密碼變更記錄、公司網路管理日誌等記錄,做好網路監控和安全服務,構建安全即服務的雙重縱深防禦模式,為公司管理保駕護航。
6、加強新媒體運營維護
做好公司微信、網站等的管理和維護,及時發布企業運行信息,構築全公司資源共享的信息平台,弘揚企業文化,提升企業形象,更好地服務於企業改革發展。
⑹ 為保證政府政務網安全,採取了哪些防範措施
電子政務網建設原則
為達到電子政務網路的目標要求,華為公司建議在電子政務建設過程中堅持以下建網原則:從政府的需求出發,建設高安全、高可靠、可管理的電子政務體系!
統一的網路規劃
建議電於政務的建設按照國家信息化領導小組的統一部署,制定總體的網路規劃,分層推進,分步實施,避免重復建設。
完善的安全體系
網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准-ISO17799,安全管理是信息安全的關鍵,人員管理是安全管理的核心,安全策略是安全管理的依據,安全工具是安全管理的保證。
嚴格的設備選型
在電子政務網建設的過程中,網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外,同時為了杜絕網路後門的出現,在滿足功能、性能要求的前提下,建議優先選用具備自主知識產權的國內民族廠商產品,從設備選型上保證電子政務網路的安全性。
集成的信息管理
信息管理的核心理念是統一管理,分散控制。制定IT的年度規劃,提供IT的運作支持和問題管理,管理用戶服務水平,管理用戶滿意度,配置管理,可用性管理,支持IT設施的管理,安全性管理,管理IT的庫存和資產,性能和容量管理,備份和恢復管理。提高系統的利用價值,降低管理成本。
電子政務網體系架構
《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構:電子政務網路由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息,所以為保證黨政核心機密的安全性,內網必須與外網物理隔離。政務外網是政府的業務專網,主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務,外網與互聯網之間邏輯隔離。而從網路規模來說,政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設;從網路層次來說,內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。
圖1:電子政務網路的體系架構
根據電子政務設計思想及應用需求,鑒於政府各部門的特殊安全性要求,嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》,在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則,在邏輯層次及業務上,網路的構建實施如下分配:
圖2:電子政務內、外網邏輯層次
互聯支撐層是電子政務網路的基礎,由網路中心統一規劃、構建及管理,支撐層利用寬頻IP技術,保證網路的互聯互通性,提供具有一定QOS的帶寬保證,並提供各部門、系統網路間的邏輯隔離(VPN),保證互訪的安全控制;
安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統,它與互聯支撐層相對獨立,由網路中心與各部門單位共同規劃,分布構建。
業務應用層就是在安全互聯的基礎上實施政務網的各種應用,由網路中心與各系統單位統一規劃,分別實施。
華為公司電子政務解決方案的核心理念
全面的網路安全
建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面,華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證;在設備層面,華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。
針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構,在該架構中,除了可以從熟悉的網路層次視角來看待安全問題,同時還可以從時間及空間的角度來審視安全問題,從而大大拓展了安全的思路與視角,具備全面考慮與實施安全防護的模型與能力。
圖3:華為公司i3 安全 三維度端到端集成安全體系架構
(1)華為公司i3安全三維度端到端集成安全體系架構
i-intelligence(智能),integrated(集成),indiviality(個性化);
3-時間、空間及網路層次三個維度的端到端( End to End);
安全-所有IP信息網路的安全架構。
(2)網路層次(網路層、用戶層、業務層)端到端安全理念
網路的各層次均存在安全威脅的可能,華為的集成安全架構充分體現了網路安全防範的分層思想,根據不同網路層次的特點進行有針對性的防範。
網路層:保障網路路由、網路設備等基礎網路的安全;
用戶接入層:確保合法的用戶接入,訪問合法的網路范圍,並保障用戶信息的隔離等用戶接入網路的安全;
業務層:保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷,採取了大量的增強措施,如用戶接入認證、地址防盜用、訪問控制等能力。
(3)時間(事前、事後)端到端安全理念
以前政府行業更關注網路的事前防範能力,往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多,對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後,要求網路所能提供的支持也是不同的,其花費的代價與技術實現難度有非常大的差別:
事前防範:主要通過數據隔離、加密、過濾、管理等技術,加強整個網路的健壯性;
事後跟蹤:華為公司的「i3安全」架構提供在網路級做日誌記錄的能力,通過對用戶上網埠、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而為後期的分析提供第一手的資料。
(4)空間(外網、內網)端到端安全理念
外網:通過VPN、加密等保證信息安全,通過網路防火牆、病毒防火牆等防範網路攻擊,側重的是防範;
內網:通過對用戶的識別,保證合法的用戶訪問合法的網路范圍,並做好訪問記錄,側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網,兩張網按照17號文件要求嚴格的物理隔離分別進行建設,保證政府網路的安全。
華為公司三緯度集成安全架構提供端到端集成安全服務:
圖4:華為公司i3安全三維度端到端集成安全體系架構
隨著政府網路網上應用的進一步增多,隨著網路進一步深入人們的生活,入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程,只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢,疏而不漏」。
完善的端到端的可靠性
網路可靠性主要是指當設備或網路出現故障時,網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容:
(1)設備可靠性
華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構,不存在單點故障;採用無源背板,支持真正熱插拔、熱備份,同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計,能充分滿足電子政務網路對設備高可靠性的要求。
(2)組網設計的可靠性
在控制投資的前提下,在電子政務網路的部分省地骨幹節點,可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護,接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護,從組網角度避免單點故障。
另外,可採用備份中心技術,為路由器上的任意介面提供備份介面;路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面;可對介面上的某條邏輯鏈路提供備份。
通過靈活的備份機制及完善的技術,可以充分利用備份資源,確保網路互聯互通的可靠性。
簡單高效的維護和管理
政府網路信息點數量眾多,而且較為稠密,所以網路設備數量眾多,特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時,利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能,降低網路管理人員的工作量,提高效率。
豐富的業務承載能力
政府信息化的一個重要特點是以業務牽引網路需求,應用不斷更新,對網路設備的需求不斷提高,在這樣的一個動態網路中,網路設備本身的業務承載能力就顯得非常重要。因此,華為公司提出了第5代基於網路處理器技術,可以保證在後續新增業務對網路平台有特殊要求時,實現快速定製、快速支持,保證對網路設備投資的連續性。
利用MPLS VPN表現出強大的擴展性和前所未見的高性能,電子政務網可任由業務的增長和變化,網路可以平滑地擴充和升級,可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家,華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。
⑺ 網路安全體系結構的設計目標是什麼
一、 需求與安全
信息——信息是資源,信息是財富。信息化的程度已經成為衡量一個國家,一個單位綜合技術水平,綜合能力的主要標志。從全球范圍來看,發展信息技術和發展信息產業也是當今競爭的一個制高點。
計算機信息技術的焦點集中在網路技術,開放系統,小型化,多媒體這四大技術上。
安全——internet的發展將會對社會、經濟、文化和科技帶來巨大推動和沖擊。但同時,internet在全世界迅速發展也引起了一系列問題。由於internet強調它的開放性和共享性,其採用的tcp/ip、snmp等技術的安全性很弱,本身並不為用戶提供高度的安全保護,internet自身是一個開放系統,因此是一個不設防的網路空間。隨著internet網上用戶的日益增加,網上的犯罪行為也越來越引起人們的重視。
對信息安全的威脅主要包括:
內部泄密
內部工作人員將內部保密信息通過e-mail發送出去或用ftp的方式送出去。
「黑客」入侵
「黑客」入侵是指黑客通過非法連接、非授權訪問、非法得到服務、病毒等方式直接攻入內部網,對其進行侵擾。這可直接破壞重要系統、文件、數據,造成系統崩潰、癱瘓,重要文件與數據被竊取或丟失等嚴重後果。
電子諜報
外部人員通過業務流分析、竊取,獲得內部重要情報。這種攻擊方式主要是通過一些日常社會交往獲取有用信息,從而利用這些有用信息進行攻擊。如通過竊聽別人的談話,通過看被攻擊對象的公報等獲取一些完整或不完整的有用信息,再進行攻擊。
途中侵擾
外部人員在外部線路上進行信息篡改、銷毀、欺騙、假冒。
差錯、誤操作與疏漏及自然災害等。
信息戰——信息系統面臨的威脅大部分來源於上述原因。對於某些組織,其威脅可能有所變化。全球范圍 內的競爭興起,將我們帶入了信息戰時代。
現代文明越來越依賴於信息系統,但也更易遭受信息戰。信息戰是對以下方面數據的蓄意攻擊:
�機密性和佔有性
�完整性和真實性
�可用性與佔用性
信息戰將危及個體、團體;政府部門和機構;國家和國家聯盟組織。信息戰是延伸進和經過cyberspace進行的戰爭新形式。
如果有必要的話,也要考慮到信息戰對網路安全的威脅。一些外國政府和有組織的恐怖分子、間諜可能利用「信息戰」技術來破壞指揮和控制系統、公用交換網和其它國防部依靠的系統和網路以達到破壞軍事行動的目的。造成災難性損失的可能性極大。從防禦角度出發,不僅要考慮把安全策略制定好,而且也要考慮到信息基礎設施應有必要的保護和恢復機制。
經費——是否投資和投資力度
信息系統是指社會賴以對信息進行管理、控制及應用的計算機與網路。其信息受損或丟失的後果將影響到社會各個方面。
在管理中常常視安全為一種保障措施,它是必要的,但又令人討厭。保障措施被認為是一種開支而非一種投資。相反地,基於這樣一個前提,即系統安全可以防止災難。因此它應是一種投資,而不僅僅是為恢復所付出的代價。
二、 風險評估
建網定位的原則:國家利益,企業利益,個人利益。
信息安全的級別:
1.最高級為安全不用
2.秘密級:絕密,機密,秘密
3.內部
4.公開
建網的安全策略,應以建網定位的原則和信息安全級別選擇的基礎上制定。
網路安全策略是網路安全計劃的說明,是設計和構造網路的安全性,以防禦來自內部和外部入侵者的行動 計劃及阻止網上泄密的行動計劃。
保險是對費用和風險的一種均衡。首先,要清楚了解你的系統對你的價值有多大,信息值須從兩方面考慮:它有多關鍵,它有多敏感。其次,你還須測定或者經常的猜測面臨威脅的概率,才有可能合理地制定安全策略和進程。
風險分析法可分為兩類:定量風險分析和定性風險分析。定量風險分析是建立在事件的測量和統計的基礎上,形成概率模型。定量風險分析最難的部分是評估概率。我們不知道事件何時發生,我們不知道這些攻擊的代價有多大或存在多少攻擊;我們不知道外部人員造成的人為威脅的比重為多少。最近,利用適當的概率分布,應用monte carlo(蒙特卡羅)模擬技術進行模塊風險分析。但實用性不強,較多的使用定性風險。
風險分析關心的是信息受到威脅、信息對外的暴露程度、信息的重要性及敏感度等因素,根據這些因素進行綜合評價。
一般可將風險分析列成一個矩陣:
將以上權重組合,即:
得分 = ( 威脅 × 透明 ) + ( 重要性 × 敏感度 )
= ( 3 × 3 ) + ( 5 × 3) = 24
根據風險分析矩陣可得出風險等級為中風險。
網路安全策略開發必須從詳盡分析敏感性和關鍵性上開始。風險分析,在信息戰時代,人為因素也使風險分析變得更難了。
三、體系結構
應用系統工程的觀點、方法來分析網路的安全,根據制定的安全策略,確定合理的網路安全體系結構。
網路劃分:
1、公用網
2、專用網:
(1)保密網
(2)內部網
建網的原則:
從原則上考慮:例如選取國家利益。
從安全級別上:1,最高級為安全不用,無論如何都是不可取的。2,3,4 全部要考慮。
因此按保密網、內部網和公用網或按專用網和公用網來建設,採用在物理上絕對分開,各自獨立的體系結構。
四、公用網
舉例說明(僅供參考),建網初期的原則:
1、任何內部及涉密信息不準上網。
2、以外用為主,獲取最新相關的科技資料,跟蹤前沿科技。
3、只開發e-mail,ftp,www功能,而telnet,bbs不開發,telnet特殊需要的經批准給予臨時支持。說明一下,建網時,www功能還沒有正常使用。
4、撥號上網嚴格控制,除領導,院士,專家外,一般不批准。原因是,撥號上網的隨意性和方便性使得網路安全較難控制。
5、網路用戶嚴格經領導、保密辦及網路部三個部門審批上網。
6、單位上網機器與辦公機器截然分開,定期檢查。
7、簽定上網保證書,確定是否非政治,非保密,非黃毒信息的上網,是否侵犯知識產權,是否嚴格守法。
8、對上網信息的內容進行審查、審批手續。
為了使更多的科技人員及其他需要的人員上網,採用逐步分階段實施,在安全設施配齊後,再全面開放。
五、公用網路安全設施的考慮
1. 信息稽查:從國家利益考慮,對信息內容進行審查、審批手續。
信息截獲,稽查後,再傳輸是最好的辦法。由於機器速度慢,決定了不可能實時地進行信息交流,因而難於實時稽查。
信息復制再分析是可行的辦法。把信件及文件復制下來,再按涉密等關鍵片語檢索進行檢查,防止無意識泄密時有據可查。起到威懾作用和取證作用。
2. 防火牆:常規的安全設施。
3. 網路安全漏洞檢查:各種設備、操作系統、應用軟體都存在安全漏洞,起到堵和防的兩種作用。
4. 信息代理:
(1)主要從保密上考慮。如果一站點的某一重要信息,被某一單位多人次的訪問,按概率分析,是有必然的聯系,因此是否暴露自己所從事的事業。
(2)可以提高信息的交換速度。
(3)可以解決ip地址不足的問題。
5. 入侵網路的安全檢查設施,應該有。但是,由於事件和手法的多樣性、隨機性,難度很大,目前還不具備,只能使用常規辦法,加上人員的分析。
六、 專用網路及單機安全設施的考慮,重點是保密網
1,專用屏蔽機房;
2,低信息輻射泄露網路;
3,低信息輻射泄露單機。
七、安全設備的選擇原則
不能讓外國人給我們守大門
1、按先進國家的經驗,考慮不安全因素,網路介面設備選用本國的,不使用外國貨。
2、網路安全設施使用國產品。
3、自行開發。
網路的拓撲結構:重要的是確定信息安全邊界
1、一般結構:外部區、公共服務區、內部區。
2、考慮國家利益的結構:外部區、公共服務區、內部區及稽查系統和代理伺服器定位。
3、重點考慮撥號上網的安全問題:遠程訪問伺服器,放置在什麼位置上,能滿足安全的需求。
八、 技術和管理同時並舉
為了從技術上保證網路的安全性,除對自身面臨的威脅進行風險評估外,還應決定所需要的安全服務種類,並選擇相應的安全機制,集成先進的安全技術。
歸納起來,考慮網路安全策略時,大致有以下步驟:
� 明確安全問題:明確目前和近期、遠期的網路應用和需求;
� 進行風險分析,形成風險評估報告,決定投資力度;
� 制定網路安全策略;
� 主管安全部門審核;
� 制定網路安全方案,選擇適當的網路安全設備,確定網路安全體系結構;
� 按實際使用情況,檢查和完善網路安全方案。
⑻ 有沒有詳細的網路安全等級保護流程介紹謝謝了。
開展網路安全等級保護工作的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。具體細節:
定級階段:
網路運營者確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
備案階段:
第二級及以上網路運營者在定級、撤銷或變更調整網路安全保護等級時,在明確安全保護等級後需在10個工作日內,到縣級以上機關備案,提交相關材料。
建設整改階段:
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略,制定網路安全建設整改方案
根據網路安全建設整改方案,實施安全建設工程;
開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。
注意:全國各地區政策不一樣,以實際情況為准。
等級測評階段:
網路安全等級保護測評過程分為4個基本活動:測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。
監督檢查階段:
每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,機關可以委託社會力量提供技術支持。
以上都是摘自時代新威官網,裡面等保干貨非常多,解釋更加規范、准確。
⑼ 需求一份區域網建立調整方案的思路及設計方案、ip地址分配規劃表、網路拓撲圖,越完整越好,大神們出招吧
發給你郵件了
區域網網路安全設計方案
一.畫出本設計方案基於區域網的拓撲圖,並有說明。
拓撲圖如下:
拓撲結構分析:本設計的拓撲結構是以中間一個核心交換機為核心,外接Router0、Router2,DNS伺服器(提供域名解析)、DHCP伺服器(為該區域網分配IP地址)、Router3(做外網路由器用,通過它與Internet連接)、一個管理員主機(通過該主機可以對該網路的設備進行管理和配置)。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火牆、ACL、NAT等,主要是為了該網路的安全和易於管理。以上只是該網路的初級設計。
二在對區域網網路系統安全方案設計、規劃,應遵循以下原則:
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
三.防病毒的方法和設計
第一:病毒可能帶來哪些威脅
一旦中毒,就可能對系統造成破壞,導致數據泄露或損壞,或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟體或廣告軟體而造成的威脅。「病毒」一詞通常用於描述某類特定的惡意代碼。經過正確分析和規劃的防病毒解決方案可防範廣泛的惡意或未經授權的代碼。
第二:病毒是通過哪些方式或者載體來給我們帶來威脅
病毒的載體是用於攻擊目標的途徑。了解惡意代碼、間諜軟體和廣告軟體所利用的威脅的載體,有助於組織設計防病毒解決方案來防止被未經授權的代碼感染,並阻止其擴散。常見的威脅的載體有網路(包括外部網路和內部網路)、移動客戶端(包括連接到網路的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅動器和快閃記憶體卡等)。
第三:如何有效地防止病毒侵入
防病毒軟體:用於清除、隔離並防止惡意代碼擴散。
安全機制:防火牆解決方案不足以為伺服器、客戶端和網路提供足夠的保護,以防範病毒威脅、間諜軟體和廣告軟體。病毒不斷發展變化,惡意代碼被設計為通過新的途徑,利用網路、操作系統和應用程序中的缺陷。及時地添加補丁,更新軟體,對網路的安全性好很大的幫助。
四.防木馬的方法和設計
一:建立受限的賬戶
用「netuser」命令添加的新帳戶,其默認許可權為「USERS組」,所以只能運行許可的程序,而不能隨意添加刪除程序和修改系統設置,這樣便可避免大部分的木馬程序和惡意網頁的破壞。
二:惡意網頁是系統感染木馬病毒及流氓插件的最主要途徑,因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。
三:
1.禁止程序啟動很多木馬病毒都是通過注冊表載入啟動的,因此可通過許可權設置,禁止病毒和木馬對注冊表的啟動項進行修改。
2.禁止服務啟動
一些高級的木馬病毒會通過系統服務進行載入,對此可禁止木馬病毒啟動服務的許可權。
可依次展開「HKEY_LOCAL_」分支,將當前帳戶的「讀取」許可權設置為「允許」,同時取消其「完全控制」許可權
五.防黑客攻擊的方法和設計
1.隱藏IP地址
黑客經常利用一些網路探測技術來查看我們的主機信息,主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等於為他的攻擊准備好了目標,他可以向這個IP發動各種進攻,如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。
與直接連接到Internet相比,使用代理伺服器能保護上網用戶的IP地址,從而保障上網安全。代理伺服器的原理是在客戶機(用戶上網的計算機)和遠程伺服器(如用戶想訪問遠端WWW伺服器)之間架設一個「中轉站」,當客戶機向遠程伺服器提出服務要求後,代理伺服器首先截取用戶的請求,然後代理伺服器將服務請求轉交遠程伺服器,從而實現客戶機和遠程伺服器之間的聯系。很顯然,使用代理伺服器後,其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費代理伺服器的網站有很多,你也可以自己用代理獵手等工具來查找。
2.關閉不必要的埠
黑客在入侵時常常會掃描你的計算機埠,如果安裝了埠監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟體關閉用不到的埠,比如,用「NortonInternetSecurity」關閉用來提供網頁服務的80和443埠,其他一些不常用的埠也可關閉。
3.更換管理員帳戶
Administrator帳戶擁有最高的系統許可權,一旦該帳戶被人利用,後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator賬號。
首先是為Administrator帳戶設置一個強大復雜的密碼,然後我們重命名Administrator帳戶,再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員許可權,也就在一定程度上減少了危險性。
六.區域網防arp病毒攻擊的方法和設計
1.安裝arp防火牆或者開啟區域網ARP防護,比如360安全衛士等arp病毒專殺工具,並且實時下載安裝系統漏洞補丁,關閉不必要的服務等來減少病毒的攻擊。
2.使用多層交換機或路由器:接入層採用基於IP地址交換進行路由的第三層交換機。由於第三層交換技術用的是IP路由交換協議,以往的鏈路層的MAC地址和ARP協議失效,因而ARP欺騙攻擊在這種交換環境下起不了作用。
七.本設計的特色
實現本設計既簡單又實用,而且操作起來十分方便,十分符合校內小型區域網的網路安全設計,完全可以符合一般學生的需要
八.心得體會
通過本次設計我認真查閱資料學到了很多知識對病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解,也提高了我對這些方面的興趣,最為重要地是我知道了怎麼去建立和保護一個安全的網路。