網擾梁址的安全可以是一個非常寬泛的問題,這張圖完整的展示了小到一個網站大到一個企業的網路神蘆安全該如何來進行建設。
安全建設一共分為六個階段:
第一階段:初始認知
第二階段:被動防禦
第三階段:主動發現
第四階段:體系規劃
第五階段:態勢感知
第六階段:價值創造
安全防護結構又分為四部分:基礎安全、應用安全、業務安全和商業安全。
現在許多企業都處於最基礎的被動防禦階段,比如當DDoS攻擊來才開始使用防禦;黑客入侵時才想到使用應急響應。而這些往往都是造成損失後的補救。
所以建議大家都要向第三個階段靠攏,做到主動緩瞎運發現,這樣才能構建更好的網路安全體系。
目前阿里雲、騰訊雲和知道創宇都是有比較完善的安全服務,我留下網址大家可以去看看。
阿里雲:
騰訊雲:② 如何構建小型區域網 (課程設計文章) 有的發來一個
校園網規劃
摘要 : 本文通過對校園園區區域網(以下簡稱校園園區網)規劃思想過程的論述,對就如何建立一個高效,安全的校園網提供設計思想和組網步驟依據。
關鍵詞:網路需求,規劃實施計劃
0. 引言
信息技術日新月異的今天,網路技術發展迅猛,信息傳輸已經不僅僅局限於單純文本數據,數字數據
的傳輸,隨之而來的是視頻,音頻等多媒體技術的廣泛運用。隨著技術的發展,網路設備性能和傳輸介質容量有了極大的提高,但是由於用戶需求的日益提高,網路環境的日益復雜,使得網路規劃成為一項越發困難的課題,作為校園園區網的規劃成敗與否,將直接影響到學校教育網路系統性能的高低,從而影響教學進程和教學效果,下面主要對校園園區網的規劃思想進行探討。
1. 校園園區網規劃介紹
校園園區網規劃是校園掘譽信網進行工程組網的前期准備工作,它的內容涉及到整項網路工程的重要步驟,是網路設計的核心與靈魂,校園園區網優良的長遠規劃和最佳的實現選擇是校園網長期高效能運營的基礎。目前,校園園區網中技術應用主要為輔助管理,教學判輪科研,internet信息服務,以及網路技術探索應用四大類,由於總體的規劃所涉及到的技術因數繁多,因而校園園區網規劃應當實地考察,調研,通過反復論證,結合當今技術及發展方向,提出總體規劃設想,規劃既要適應當前的應用,又要反映未來需求,規劃應當考慮經濟,環境,人文,資源等多方面因素,以合理需求為原則。
2. 校園園區網規劃實施計劃
2.1 了解用戶,收集信息
網路規劃的目的在於收集一線信息的基礎上給出合理可行的設計方案,如戰場指揮,運籌帷幄,決
勝千里,其關鍵之處在於廣泛收集信息,全面合理的規劃校園園區網需認真考慮三點因素:
(1)學校歷史網路資源信息,當前網路規劃設計計劃,領先的技術虛早方向,運營機制和管理辦法,滿足未來網路的高度擴展計劃及其特點
(2)了解學校校園網路的使用者分別是誰?他們各自的知識層次如何?以及他們對計算機的使用觀點和使用頻率如何?他們對當前的網路態度和看法如何?這一點將為日後培訓和安排多少人員進行網路的技術支持和維護起導向作用。
(3)明確網路規模:有哪些校區,哪些部門,多少網路用戶,哪些資源需要上網,採用什麼檔次的設備而又在資金預算范圍內,不同部門之間的信息流向問題,不同時刻網路流量及流量峰值問題,確定網路終端數量及位置,共享數據的存儲位置和哪些人要用這些數據等基本狀況等
(4)找出用戶與用戶,用戶與資源,資源與資源之間的內在關系,相關信息,這是校園網設計的前提和依據,是規劃的核心思想,作為一個龐大的校園網,如何使得設計的網路便於教學需求和管理應用,教學網與管理網各自安全運作,相互兼容,而又不矛盾?這一點尤為重要。
2.2 分析需求,提出網路設計原則
2.2.1 需求分析
教育行業有著自身的特殊性,校園園區網對整個網路性能要求相對較高,校園園區網組建需滿足對數字,語音,圖形圖象等多媒體技術的寬泛應用,以及綜合科研信息的傳輸和處理需求的綜合數字網,並能符合多種協議的要求,其體系應當符合國際標准(如TCP/IP協議,Novell IPX協議等),同時能兼容已有的網路環境,因此設計組網前,應對各方面需求總結歸納,做出細致分析:
(1)內部光纜主幹需求:規劃需分析綜合布線系統及其子系統,主配線間MDF與二及配線間IDF的位置,不同類別的伺服器位置等。
(2)應用管理需求:能夠讓管理人員從繁瑣的文字處理中徹底解脫出去,以計算機信息系統交流和日常事物,構建公文系統,日常辦公系統,檔案系統,電子郵件等功能,且需操作簡單,便於使用。滿足視頻點播,語音教學,多媒體課件等教學需求,具備基本的Internet訪問等。
(3)網路流量需求:要求校園園區網有足夠的網路吞吐量來滿足教學任務,保證信息的高質高效率傳輸,校園網流量涉及到,語音教學,多媒體課件,伺服器訪問,Web瀏覽,視頻點播等,對帶寬需求和時延性要求極高。
(4)網路安全需求:校園網路必須有完善的安全管理機制,能夠確保網路內部可靠運行,還要防止來自外部的和來自內部的非法訪問和入侵,保證關鍵資料庫的存儲安全
2.2.2 提出設計原則
(1)網路可靠性原則:
網路設計過程中網路拓撲應採用穩定可靠的形式,如:雙路由網路拓撲,環行網路結構。因為它們即可冗餘備份,安全性又可以得到保障,核心層交換可採用高端交換設備和光纖技術的主幹鏈路(TRUNK)來實現較高的容錯性,這樣就可以避免單點故障的出現,網路結構使用雙鏈路,雙核心交換設備,雙路由備份可靠措施,都可以使校園網可靠性和實用性得到大大的提高
(2)網路可擴展性原則:
校園園區網擴展性包含2層意思(一):新的教學部門能簡單的接入現有網路 (二):升級新技術的應用能夠無逢的在現有網路上運行
可見,規劃校園園區網路時不但要分析當前的技術指標,而且要對未來的網路增長情況做出估計和預算,以滿足新的需求,保證網路可靠性,從而保證校園正常的教學秩序
(3)網路實用性和可管理性原則:
校園園區網系統設計在性能價格比方面要體現系統的實用性,可採用先進的設備,但有要在資金允許的條件下實現建網的目標,校園園區網應基於簡單網路管理協議(SNMP),並支持管理信息庫(MIB),利用圖形化,可視化管理界面和操作方式,易於管理,這也正體現出了實用性原則,合理的網路規劃策略,可提供強大的管理
功能,能使管理一體化進行,這就便於日後的校園網更新與維護
(4)網路安全性原則
1.對物理層及網路拓撲結構,操作系統及應用軟體要求具備相應的安全檢測機制,邊界網關應該構築防火牆,安裝殺毒軟體,對網關路由器進行必要的安全性過濾,如訪問控制列表ACL配置,用戶身份認證,數據加密,密鑰等技術來實現校園園區網的安全化
2.採用靜態虛擬區域網技術(靜態VLAN)加強內網的管理,因為VLAN是基於邏輯劃分而非物理地理劃分,這就有效的控制了各個網段的相互訪問,從而保證了內網的安全性,同時VLAN又可抑制不必要的廣播,從而節約了帶寬,又便於管理
3.以TCP/IP四層網際模型為框架建立持續過程的網路安全性措施運行機制,做到維護網路,監測網路,測試網路,改進網路四位一體的網路持續性保衛工作,它是網路安全性管理的核心思想,如圖所示:
應用層
傳輸層
網際層
internet層
網路接入
圖(1)以TCP/IP模型構建持續性網路安全管理方式
3. 總結失敗項目,明確網路規劃的必要性
當前很多學校紛紛建立自己的校園網,但由於組網設計前期規劃工作做的不徹底,不扎實,使得校園
網發揮效益不大,巨大的投資沒有換來實實在在的成效收益。這一點在中小學校園網建設上體現的較為明顯,其原因主要三點:
(1)認識不到為
學校對校園網概念定義缺乏認識,帶有盲目性和自我偏見性,沒有明確建校園網的目的,不曉得校
園網到底起什麼樣的實質性作用。
(2)投資方案不合理
由於對校園園區網建設認識不正確,使得很多學校出現「重硬體,輕軟體」的現象,結果校園園區網建設成了基於硬體設備的校園網組網解決方案,是純粹的設備集合。而對建網後的維護極不重視,後期的管理投入所佔比例微乎其微,所以使得校園網不能很好的服務與教學和管理,甚至還會使整個網路趨於崩潰。
(3)缺乏有效的組織管理和實施手段
校園園區網的建設不僅僅涉及到技術問題,還會引起更深層次的變革,而學校在建設校園園區網時,認識不充分,在新技術,新思想面前不能及時轉變觀念,沒有行之有效的組織管理和實施手段。
基於上述三點指出:盲目的進行校園網建設,不採取合理的規劃,都會導致校園網建設失敗,一個成功的校園網規劃應當是集穩定開放的網路平台,量身定製的應用軟體,有效的組織實施方案三位於一體的的校園園區網建設過程。
4. 總結
校園園區網應順應時代教育思想的革命,在網路技術上具備響應的本質特徵,教育的一個基本特徵是打破時間和地域的限制,面向全體社會成員,這就要求規劃校園園區網路時必須站的高,看的遠,時刻明確思想定位和技術定位,本文主要探討了如何行之有效的規劃一個滿足教學,科研,管理全方面高效新型校園園區網,並指明規劃思想。總之,未來校園園區區域網的規劃目標,規劃方向應該是建成一個集IP服務,寬頻光傳輸且提供服務的運營級多功能網路
參考文獻:[1]王竹林等 . 校園網組網與管理<M> 清華大學出版社 . 2001出版
[2]思科網路技術教程(三. 四)學期 人民郵電出版社 2002出版
[3]http://www.net130.com.cn
[4]方東權 . 楊巋 . 校園網路安全與管理[J]. 網路安全與技術 2005第51期
③ 常見汽車車載網路系統的結構與特點
目前,上述A、B、C3網路系統廣泛應用於車載網路系統。這三個網路系統的結構和特點如下:1.A類網路的結構和特點圖1-3顯示了汽車防盜系統中使用的A類網路的典型結構圖。由於車門開關、發動機罩開關、行李箱關閉的信號只能在一定條件下產生,車輛正常行駛時沒有信號,數據傳輸速率極低,因此低速A類網路完全可以滿足系統的控制要純談清求。在圖1-3所示的網路中,各種閉合或斷開觸點的信做前號通過匯流排發送到防盜報警模塊進行報警。2.B類網路的結構和特點圖1-4顯示了一個用於汽車信息系統的B類CAN匯流排網路的典型結構圖。在這個網路中,車輛信息中心系統和儀表組單元(儀表系統控制單元)不需要單獨連接液位、溫度、車燈、車門、安全帶等信號感測器,所有這些信息都可以從匯流排上獲取(液位和溫度信號可以通過匯流排從發動機控制單元獲取;車燈、安全帶等信號可以通過匯流排從車身的微處理器獲取;車門信號可以通過匯流排從車門控制單元獲得)。從而大大減少了感測器及其對應的信號處理電路的數量,有效節省了整車的成本和安裝空間。3.C類網路的結構和特點圖1-5顯示了汽車集成控制系統中使用的C型CAN匯流排網路的典型結構圖。在這個網路中,CAN匯流排有效地連接發動機控制單元、驅動控制單元、防侍啟抱死制動控制單元、巡航控制單元、自動變速器控制單元等。變成一個綜合控制系統,從而大大提高了車輛性能。
④ 網路的問題急用!!!!!!!!!
中小企業整體網路安全解決方案解析
信息科技的發展使得計算機的應用范圍已經遍及世界各個角落。眾多的企業都紛紛依靠IT技術構建企業自身的信息系統和業務運營平台。IT網路的使用極大地提升了企業的核心競爭力,使企業能在信息資訊時代脫穎而出。
企業利用通信網路把孤立的單機系統連接起來,相互通信和共享資源。但由於計算機信息的共享及互聯網的特有的開放性,使得企業的信息安全問題日益嚴重。
外部安全
隨著互聯網的發展,網路安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對於企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網路癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
內部安全
最新調查顯示,在受調查的企業中60%以上的員工利用網路處理私人事務。對網路的不正當使用,降低了生產率、阻礙電腦網路、消耗企業網路資源、並引入病毒和間諜,或者使得不法員工可以通過網路泄漏企業機密,從而導致企業數千萬美金的損失。
內部網路之間、內外網路之間的連接安全
隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麼處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網路連接安全直接影響企業的高效運作。
1. 中小企業的網路情況分析
中小企業由於規模大小、行業差異、工作方式及管理方式的不同有著不同的網路拓撲機構。網路情況有以下幾種。
集中型:
中小企業網路一般只在總部設立完善的網路布局。採取專線接入、ADSL接入或多條線路接入等網路接入方式,一般網路中的終端總數在幾十到幾百台不等。網路中有的劃分了子網,並部署了與核心業務相關的伺服器,如資料庫、郵件伺服器、文檔資料庫、甚至ERP伺服器等。
分散型:
採取多分支機構辦公及移動辦公方式,各分支機構均有網路部署,數量不多。大的分支採取專線接入,一般分支採取ADSL接入方式。主要是通過VPN訪問公司主機設備及資料庫,通過郵件或內部網進行業務溝通交流。
綜合型:
集中型與分散型的綜合。
綜合型企業網路簡圖
2. 網路安全設計原則
網路安全體系的核心目標是實現對網路系統和應用操作過程的有效控制和管理。任何安全系統必須建立在技術、組織和制度這三個基礎之上。
體系化設計原則
通過分析信息網路的層次關系,提出科學的安全體系和安全框架,並根據安全體系分析存在的各種安全風險,從而最大限度地解決可能存在的安全問題。
全局綜合性設計原則
從中小企業的實際情況看,單純依靠一種安全措施,並不能解決全部的安全問題。建議考慮到各種安全措施的使用,使用一個具有相當高度、可擴展性強的安全解決方案及產品。
可行性、可靠性及安全性
可行性是安全方案的根本,它將直接影響到網路通信平台的暢通,可靠性是安全系統和網路通信平台正常運行的保證,而安全性是設計安全系統的最終目的。
3. 整體網路安全系統架構
安全方案必須架構在科學網路安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
整體安全系統架構
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網路層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著後門程序的蠕蟲病毒是簡單的防火牆/VPN安全體系所無法對付的。因此我們建議企業採用立體多層次的安全系統架構。如圖2所示,這種多層次的安全體系不僅要求在網路邊界設置防火牆/VPN,還要設置針對網路病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網路邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
1. 整體安全防護體系
基於以上的規劃和分析,建議中小企業企業網路安全系統按照系統的實現目的,採用一種整合型高可靠性安全網關來實現以下系統功能:
防火牆系統
VPN系統
入侵檢測系統
網路行為監控系統
垃圾郵件過濾系統
病毒掃描系統
帶寬管理系統
無線接入系統
2.方案建議內容
2.1. 整體網路安全方案
通過如上的需求分析,我們建議採用如下的整體網路安全方案。網路安全平台的設計由以下部分構成:
防火牆系統:採用防火牆系統實現對內部網和廣域網進行隔離保護。對內部網路中伺服器子網通過單獨的防火牆設備進行保護。
VPN系統:對遠程辦公人員及分支機構提供方便的IPSec VPN接入,保護數據傳輸過程中的安全,實現用戶對伺服器系統的受控訪問。
入侵檢測系統:採用入侵檢測設備,作為防火牆的功能互補,提供對監控網段的攻擊的實時報警和積極響應。
網路行為監控系統:對網路內的上網行為進行規范,並監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。
病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。
垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
移動用戶管理系統:對內部筆記本電腦在外出後,接入內部網進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。
帶寬控制系統:使網管人員對網路中的實時數據流量情況能夠清晰了解。掌握整個網路使用流量的平均標准,定位網路流量的基線,及時發現網路是否出現異常流量並控制帶寬。
總體安全結構如圖:
網路安全規劃圖
本建議書推薦採用法國LanGate®產品方案。LanGate® UTM統一安全網關能完全滿足本方案的全部安全需求。LanGate® UTM安全網關是在專用安全平台上集成了防火牆、VPN、入侵檢測、網路行為監控、防病毒網關、垃圾郵件過濾、帶寬管理、無線安全接入等功能於一身的新一代全面安全防護系統。
LanGate® UTM產品介紹
3.1. 產品概括
LanGate 是基於專用晶元及專業網路安全平台的新一代整體網路安全硬體產品。基於專業的網路安全平台, LanGate 能夠在不影響網路性能情況下檢測有害的病毒、蠕蟲及其他網路上的安全威脅,並且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊,防止不正常使用和改善網路應用的服務可靠性。
高度模塊化、高度可擴展性的集成化LanGate網路產品在安全平台的基礎上通過各個可擴展的功能模塊為企業提供超強的安全保護服務,以防禦外部及內部的網路攻擊入。此產品在安全平台上集成各種功能應用模塊和性能模塊。應用模塊添加功能,例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構可使新的安全服務在網路新病毒、新威脅肆虐時及時進行在線升級挽救網路,而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產品簡化了網路拓撲結構,降低了與從多個產品供應商處找尋、安裝和維護多種安全服務相關的成本。
3.2. 主要功能
基於網路的防病毒
LanGate 是網關級的安全設備,它不同於單純的防病毒產品。LanGate 在網關上做 HTTP、SMTP、POP 和 IMAP的病毒掃描,並且可以通過策略控制流經不同網路方向的病毒掃描或阻斷,其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的,可以實時更新病毒庫。
基於用戶策略的安全管理
整個網路安全服務策略可以基於用戶進行管理,相比傳統的基於 IP的管理方式,提供了更大的靈活性。
防火牆功能
LanGate 系列產品防火牆都是基於狀態檢測技術的,保護企業的計算機網路免遭來自 Internet 的攻擊。防火牆通過「外->內」、「內->外」、「內->內」(子網或虛擬子網之間)的介面設置,提供了全面的安全控制策略。
VPN功能
LanGate支持IPSec、PPTP及L2TP的VPN 網路傳輸隧道。LAN Gate VPN 的特性包括以下幾點:
支持 IPSec 安全隧道模式
支持基於策略的 VPN 通信
硬體加速加密 IPSec、DES、3DES
X509 證書和PSK論證
集成 CA
MD5 及 SHA認證和數據完整性
自動 IKE 和手工密鑰交換
SSH IPSEC 客戶端軟體, 支持動態地址訪問,支持 IKE
通過第三方操作系統支持的 PPTP 建立 VPN 連接
通過第三方操作系統支持的 L2TP建立 VPN 連接
支持NAT穿越
IPSec 和 PPTP
支持無線連接
星狀結構
內容過濾功能
LanGate 的內容過濾不同於傳統的基於主機系統結構內容處理產品。LanGate設備是網關級的內容過濾,是基於專用晶元硬體技術實現的。LanGate 專用晶元內容處理器包括功能強大的特徵掃描引擎,能使很大范圍類型的內容與成千上萬種關鍵詞或其它模式的特徵相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾,還提供了免屏蔽列表和組合關鍵詞過濾的功能。同時,LanGate 還能對郵件、聊天工具進行過濾及屏蔽。
入侵檢測功能
LanGate 內置的網路入侵檢測系統(IDS)是一種實時網路入侵檢測感測器,它能對外界各種可疑的網路活動進行識別及採取行動。IDS使用攻擊特徵庫來識別過千種的網路攻擊。同時LanGate將每次攻擊記錄到系統日誌里,並根據設置發送報警郵件或簡訊給網路管理員。
垃圾郵件過濾防毒功能 包括:
對 SMTP伺服器的 IP進行黑白名單的識別
垃圾郵件指紋識別
實時黑名單技術
對所有的郵件信息病毒掃描
帶寬控制(QoS)
LanGate為網路管理者提供了監測和管理網路帶寬的手段,可以按照用戶的需求對帶寬進行控制,以防止帶寬資源的不正常消耗,從而使網路在不同的應用中合理分配帶寬,保證重要服務的正常運行。帶寬管理可自定義優先順序,確保對於流量要求苛刻的企業,最大限度的滿足網路管理的需求。
系統報表和系統自動警告
LanGate系統內置詳細直觀的報表,對網路安全進行全方位的實時統計,用戶可以自定義閥值,所有超過閥值的事件將自動通知管理管理人員,通知方式有 Email 及簡訊方式(需結合簡訊網關使用)。
多鏈路雙向負載均衡
提供了進出流量的多鏈路負載均衡,支持自動檢測和屏蔽故障多出口鏈路,同時還支持多種靜態和動態演算法智能均衡多個ISP鏈路的流量。支持多鏈路動態冗餘,流量比率和智能切換;支持基於每條鏈路限制流量大小;支持多種DNS解析和規劃方式,適合各種用戶網路環境;支持防火牆負載均衡。
3.2. LanGate產品優勢
提供完整的網路保護。
提供高可靠的網路行為監控。
保持網路性能的基礎下,消除病毒和蠕蟲的威脅。
基於專用的硬體體系,提供了高性能和高可靠性。
用戶策略提供了靈活的網路分段和策略控制能力。
提供了HA高可用埠,保證零中斷服務。
強大的系統報表和系統自動警告功能。
多種管理方式:SSH、SNMP、WEB。基於WEB(GUI)的配置界面提供了中/英文語言支持。
3.3. LANGATE公司簡介
總部位於法國的LANGATE集團公司,創立於1998年,致力於統一網路安全方案及產品的研發,早期作為專業IT安全技術研發機構,專門從事IT綜合型網路安全設備及方案的研究。如今,LANGATE已經成為歐洲眾多UTM、防火牆、VPN品牌的OEM廠商及專業研發合作夥伴,並在IT安全技術方面領先同行,為全球各地區用戶提供高效安全的網路綜合治理方案及產品。
專利的LanGate® UTM在專用高效安全硬體平台上集成了Firewall(防火牆)、VPN(虛擬專用網路)、Content Filtering(內容過濾,又稱上網行為監管)、IPS(Intruction Prevention System,即入侵檢測系統)、QoS(Quality of Services,即流量管理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網關)及 Wireless Connectivity (無線接入認證)技術。
LANGATE在全球范圍內推廣UTM整體網路安全解決方案,銷售網路遍及全球30多個國家及地區。LANGATE的產品服務部門遍布各地子公司及各地認可合作夥伴、ISPs、分銷渠道、認證VARs、認可SIs,為全球用戶提供專業全面的IT安全服務。
⑤ 什麼是網路安全網路安全應包括幾方面內容
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全應包括:企業安全制度、數據安全、傳輸安全、伺服器安全、防火牆安全(硬體或軟體實現、背靠背、DMZ等)、防病毒安全;
在網路上傳輸的個人信息(如銀行賬號和上網登錄口令等)不被他人發現,這就是用戶對網路上傳輸的信息具有保密性的要求。 在網路上傳輸的信息沒有被他人篡改,這就是用戶對網路上傳輸的信息具有完整性的要求。
(5)網路安全基本結構圖擴展閱讀:
網路傳輸的安全與傳輸的信息內容有密切的關系。信息內容的安全即信息安全,包括信息的保密性、真實性和完整性。
其中的信息安全需求,是指通信網路給人們提供信息查詢、網路服務時,保證服務對象的信息不受監聽、竊取和篡改等威脅,以滿足人們最基本的安全需要(如隱秘性、可用性等)的特性。
網路安全側重於網路傳輸的安全,信息安全側重於信息自身的安全,可見,這與其所保護的對象有關。
⑥ 什麼是網路
名稱:網路
漢語拼音:wǎng luò
英文:internet、network、a network
【網路概念】
網路,簡單的來說,就是用物理鏈路將各個孤立的工作站或主機相連在一起,組成數據鏈路,從而達到資源共享和通信的目的。
凡將地理位置不同,並具有獨立功能的多個計算機系統通過通信設備和線路而連接起來,且以功能完善的網路軟體(網路協議、信息交換方式及網路操作系統等)實現網路資源共享的系統,可稱為計算機網路。
網路一詞有多種意義,可解作:
1、流量網路(flow network)也簡稱為網路(network)。一般用來對管道系統、交通系統、通訊系統來建模。有時特指計算機網路 (Computer Network),或特指其中的互聯網 (Internet)由有關聯的個體組成的系統,如:人際網路、交通網路、政治網路。
2、由節點和連線構成的圖。表示研究諸對象及其相互聯系。有時用的帶箭頭的連線表示從一個節點到另一個節點存在某種順序關系。在節點或連線旁標出的數值,稱為點權或線權,有時不標任何數。用數學語言說,網路是一種圖,一般認為它專指加權圖。網路除了數學定義外,還有具體的物理含義,即網路是從某種相同類型的實際問題中抽象出來的模型,習慣上就稱其為什麼類型網路,如開關網路、運輸網路、通信網路、計劃網路等。總之,網路是從同類問題中抽象出來的用數學中的圖論來表達並研究的一種模型。
計算機網路是用通信線路和通信設備將分布在不同地點的多台自治計算機系統互相連接起來,按照共同的網路協議,共享硬體、軟體和數據資源的系統。
【實現網路的四個要素】
1、通信線路和通信設備
2、有獨立功能的計算機
3、網路軟體軟體支持
4、實現數據通信與資源共享
【計算機網路的發展歷史】
隨著1946年世界上第一台電子計算機問世後的十多年時間內,由於價格很昂貴,電腦數量極少。早期所謂的計算機網路主要是為了解決這一矛盾而產生的,其形式是將一台計算機經過通信線路與若乾颱終端直接連接,我們也可以把這種方式看做為最簡單的區域網雛形。
最早的Internet,是由美國國防部高級研究計劃局(ARPA)建立的。現代計算機網路的許多概念和方法,如分組交換技術都來自ARPAnet。 ARPAnet不僅進行了租用線互聯的分組交換技術研究,而且做了無線、衛星網的分組交換技術研究-其結果導致了TCP/IP問世。
1977-1979年,ARPAnet推出了目前形式的TCP/IP體系結構和協議。1980年前後,ARPAnet上的所有計算機開始了TCP/IP協議的轉換工作,並以ARPAnet為主幹網建立了初期的Internet。1983年,ARPAnet的全部計算機完成了向TCP/IP的轉換,並在 UNIX(BSD4.1)上實現了TCP/IP。ARPAnet在技術上最大的貢獻就是TCP/IP協議的開發和應用。2個著名的科學教育網CSNET和BITNET先後建立。1984年,美國國家科學基金會NSF規劃建立了13個國家超級計算中心及國家教育科技網。隨後替代了ARPANET的骨乾地位。 1988年Internet開始對外開放。1991年6月,在連通Internet的計算機中,商業用戶首次超過了學術界用戶,這是Internet發展史上的一個里程碑,從此Internet成長速度一發不可搜虛收拾。
計算機網路的發展階段
第一代:沖槐遠程終端連接
20世紀60年代早期
面向終端的計算機網路:主機是網路的中心和控制者,終端(鍵盤和顯示器)分布在各處並與主機相連,用戶通過本地的終端使用遠程的主機。
只提供終端和主機之間的通信,子網之間無法通信。
第二代:計算機網路階段(區域網)
20世紀60年代中期
多個主機互聯,實現計算機和計算機之間的通信。
包括:通信子網、用戶資源子網。
終端用戶可以訪問本地主機和通信子網上所有主機的軟硬體資源。
電路交換和分組交換。
第三代:計算機網路互聯階段(廣域網、Internet)
1981年 國際標准化組織(ISO)制訂:開放體系互聯基本參考模型(OSI/RM),實現不同廠家生產的計算機之間實現互連。
TCP/IP協議的誕生。
第四代:信息高速公路(高速,世判燃多業務,大數據量)
寬頻綜合業務數字網:信息高速公路
ATM技術、ISDN、千兆乙太網
交互性:網上電視點播、電視會議、可視電話、網上購物、網上銀行、網路圖書館等高速、可視化。
中國的網路發展史
1、Internet的階段性發展
我國的INTERNET的發展以1987年通過中國學術網CANET向世界發出第一封E-mail為標志。經過幾十年的發展,形成了四大主流網路體系,即:中科院的科學技術網CSTNET;國家教育部的教育和科研網CERNET;原郵電部的CHINANET和原電子部的金橋網CHINAGBN。
Internet在中國的發展歷程可以大略地劃分為三個階段:
第一階段為1987—1993年,也是研究試驗階段。在此期間中國一些科研部門和高等院校開始研究InternetInternet技術,並開展了科研課題和科技合作工作,但這個階段的網路應用僅限於小范圍內的電子郵件服務。
第二階段為1994年至1996年,同樣是起步階段。1994年4月,中關村地區教育與科研示範網路工程進入Internet,從此中國被國際上正式承認為有Internet的國家。之後,Chinanet、CERnet、CSTnet、Chinagbnet等多個Internet絡項目在全國范圍相繼啟動,Internet開始進入公眾生活,並在中國得到了迅速的發展。至1996年底,中國Internet用戶數已達20萬,利用Internet開展的業務與應用逐步增多。
第三階段從1997年至今,是Internet在我國快速最為快速的階段。國內Internet用戶數97年以後基本保持每半年翻一番的增長速度。增長到今天,上網用戶已超過1000萬。據中國Internet絡信息中心(CNNIC)公布的統計報告顯示,截至2003年6月30日,我國上網用戶總人數為 6800萬人。這一數字比年初增長了890萬人,與2002年同期相比則增加了2220萬人。
中國目前有五傢具有獨立國際出入口線路的商用性Internet骨幹單位,還有面向教育、科技、經貿等領域的非營利性Internet骨幹單位。現在有600多家網路接入服務提供商(ISP),其中跨省經營的有140家。
隨著網路基礎的改善、用戶接入方面新技術的採用、接八方式的多樣化和運營商服務能力的提高,接入網速率慢形成的瓶頸問題將會得到進一步改善,上網速度將會更快,從而促進更多的應用在網上實現。
編輯本段【網路的分類】
按覆蓋范圍分:
區域網LAN(作用范圍一般為幾米到幾十公里)
城域網MAN(界於WAN與LAN之間)
廣域網WAN(作用范圍一般為幾十到幾千公里)
按拓撲結構分類
匯流排型
環型
星型
網狀
按信息的交換方式來分:
電路交換
報文交換
報文分組交換
【網路安全】
網路安全是一個關系國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快而變到越來越重要。「家門就是國門」,安全問題刻不容緩。
網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私,訪問和破壞。
從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。
對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。
從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
【網路的用途】
【網路傳播】
中國現代媒體委員會常務副主任詩蘭認為,網路傳播有三個基本的特點:全球性、交互性、超文本鏈接方式。因此,其給網路傳播下的定義是:以全球海量信息為背景、以海量參與者為對象,參與者同時又是信息接收與發布者並隨時可以對信息作出反饋,它的文本形成與閱讀是在各種文本之間隨意鏈接、並以文化程度不同而形成各種意義的超文本中完成的(《國際新聞界》2000年第6期第49頁)。
還有人認為,「網路傳播」是近年來廣泛出現於傳播學中的一個新名詞。它是相對三大傳播媒體即報紙、廣播、電視而言的。網路傳播是指以多媒體、網路化、數字化技術為核心的國際互聯網路,也被稱作網路傳播,是現代信息革命的產物(《國際新聞界》2000年第6期第49頁)。
我們認為,所謂網路傳播其實就是指通過計算機網路的人類信息(包括新聞、知識等信息)傳播活動。在網路傳播中的信息,以數字形式存貯在光、磁等存貯介質上,通過計算機網路高速傳播,並通過計算機或類似設備閱讀使用。網路傳播以計算機通信網路為基礎,進行信息傳遞、交流和利用,從而達到其社會文化傳播的目的。網路傳播的讀者人數巨大,可以通過互聯網高速傳播。
網路傳播學的相關學科主要有:傳播學、政治學、社會學、心理學、新聞學、經濟學、計算機科學等。
【網路電話】
網路電話又稱為IP電話,它是通過互聯網協定(Internet Protocol,IP)來進行語音傳送的。傳統的國際電話是以類比的方式來傳送的,語音先會轉換為訊號,通過銅纜將聲音傳送到對方。網路電話則是將聲音通過網關(gateway)轉換為數據訊號,並被壓縮成數據包(packet),然後才從互聯網傳送出去,接收端收到數據包時,網關會將它解壓縮,重新轉成聲音給另一方聆聽。目前網路電話聯機方式一般來說可以分為 3 種:PC to PC 、PC to Phone、Phone to Phone。網路電話利用TCP/IP協議,由專門軟體將呼叫方的話音轉化成數字信號(往往再經過壓縮,這也是網路電話軟體好壞的技術關鍵點),然後打包,形成一個個小數據包,小數據包自由尋找網路空閑空間,將語音數據傳輸到對方,對方的專門設備或軟體接收到數據包後,作一個與前面講的語音轉化成數據包的反過程,如果對方的接收器不一致,還要作技術處理以使語音能夠還原。通話全程,我們不用特意租用專門的線路,而只是見縫插針地使用網路,大大節省通話費用。一般費用國內都在幾分錢,國際費用一般都在幾毛錢,費用非常低廉。
網路電話是一項革命性的產品,它可以透過網際網路做實時的傳輸及雙邊的對話。你可以透過當地的網際網路服務提供商 (ISP) 或電話公司以很低的費用打給世界各地的其它電話使用者,網路電話內部是免費撥打的。從上班族到家庭使用者、學生、網際網路瀏覽者、游戲玩家及祖父母等人,網路電話提供給一個完全新的、容易的、經濟的方式來和世界各地的朋友及同事通話。
【網路電視】
IPTV即互動式網路電視,是一種利用寬頻網的基礎設施,以計算機(PC)或「普通電視機+網路機頂盒(TV+IPSTB)」為主要終端設備,向用戶提供視頻點播、Internet訪問、電子郵件、游戲等多種互動式數字媒體個性需求服務的嶄新技術。
【網路教育】
網路教育指的是在網路環境下,以現代教育思想和學習理念為指導,充分發揮網路的各種教育功能和豐富的網路教育資源優勢,向教育者和學習者提供的一種網路教和學的服務,這種服務體現於用數字化技術傳遞內容.開展以學習者為中心的非面授教育活動。
【網路金融】
所謂網路金融,又稱電子金融(e-finance),是指在國際互聯網(Internet)上實現的金融活動,包括網路金融機構、網路金融交易、網路金融市場和網路金融監管等方面。它不同於傳統的以物理形態存在的金融活動,是存在於電子空間中的金融活動,其存在形態是虛擬化的、運行方式是網路化的。它是信息技術特別是互聯網技術飛速發展的產物,是適應電子商務(e- commerce)發展需要而產生的網路時代的金融運行模式。
【網路保險】
網路保險是新興的一種以計算機網路為媒介的保險營銷模式,有別與傳統的保險代理人營銷模式。
網路保險的產生和發展是一種歷史趨勢,它代表了國際保險業的發展方向。
目前國內的保險網站大致可分為兩大類:第一類是保險公司的自建網站,主要推銷自家險種,如平安保險的「PA18」,泰康人壽保險的「泰康在線」等;第二類是獨立的第三方保險網站,是由專業的互連網服務供應商(ISP)出資成立的保險網站,不屬於任何保險公司,但也提供保險服務,如易保、網險等。很明顯,以上這兩大類網站代表了中國網路保險的發展水平,當對它們的實施策略及市場運作方式進行理性、客觀的研究分析後,就能深刻地把握中國網路保險的發展狀況。
網路保險是一項巨大的社會系統工程,涉及到銀行、電信等多個行業,這一工程的完善需要較長的時間。網路黑客的襲擊使目前計算機網路系統的自身安全缺乏保障,網路保險存在不安全隱患;而網路保險由於保險當事人之間的人為因素與深刻復雜的背景及利益關系,使得在網上投訴、理賠容易滋生欺詐行為。因此,僅僅依靠網上運作還難以支撐網路保險。如何禁止和懲處利用網路保險進行保險欺詐的行為?如何實行網上核保與網上理賠及支付?網路保險在我國仍有很長的一段路要走。
網路保險技術是由國家科技研發人員研究的整套「安全加固系統」對伺服器的安全進行維護,抵制黑客,病毒以及蠕蟲入侵。截止2007年12月7號,中央新聞聯播以播報新一代的「安全加固系統」已投入運行。
【網路營銷】
網路營銷(On-lineMarketing或Cybermarketing)全稱是網路直復營銷,屬於直復營銷的一種形式,是企業營銷實踐與現代信息通訊技術、計算機網路技術相結合的產物,是指企業以電子信息技術為基礎,以計算機網路為媒介和手段而進行的各種營銷活動(包括網路調研、網路推廣、網路新產品開發、網路促銷、網路分銷、網路服務等)的總稱。
【網路語言】
網路語言是伴隨著網路的發展而新興的一種有別於傳統平面媒介的語言形式。它以簡潔生動的形式甫一誕生就得到了廣大網友的偏愛,發展神速。網路語言包括拼音或者英文字母的縮寫.含有某種特定意義的數字以及形象生動的網路動化和圖片,起初主要是網蟲們為了提高網上聊天的效率或某種特定的需要而採取的方式,久而久之就形成特定語言了。網路上冒出的新詞彙主要取決於它自身的生命力,如果那些充滿活力的網路語言能夠經得起時間的考驗,約定俗成後就可以被接受。
⑦ 網路安全的概念及網路安全威脅的主要來源。
一、網路安全的概念
國際標准化組織(ISO)對計算機系統安全的定義是:為數據處理系統建立和採用的技術和管理的安全保護,保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網路的安全理解為:通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。所以,建立網路安全保護措施的目的是確保經過網路傳輸和交換的數據不會發生增加、修改、丟失和泄露等。
二、Internet的安全隱患主要體現在下列幾方面:
1.
Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2.
Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3.
Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4.在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑著君子協定來維系的。
5.電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。
6.計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
三、網路安全防範的內容
一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全,還要保護數據安全等。因此針對計算機網路本身可能存在的安全問題,實施網路安全保護方案以確保計算機網路自身的安全性是每一個計算機網路都要認真對待的一個重要問題。網路安全防範的重點主要有兩個方面:一是計算機病毒,二是黑客犯罪。
計算機病毒是我們大家都比較熟悉的一種危害計算機系統和網路安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段,盜取密碼侵入他人計算機網路,非法獲得信息、盜用特權等,如非法轉移銀行資金、盜用他人銀行帳號購物等。隨著網路經濟的發展和電子商務的展開,嚴防黑客入侵、切實保障網路交易的安全,不僅關繫到個人的資金安全、商家的貨物安全,還關繫到國家的經濟安全、國家經濟秩序的穩定問題,因此各級組織和部門必須給予高度重視。
⑧ 網路安全有哪些主要要素,它們分別代表什麼意思
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全威脅主要包括兩類:滲入威脅和植入威脅。滲入威脅主要有:假冒、旁路控制、授權侵犯;
植入威脅主要有:特洛伊木馬、陷門。
陷門:將某一「特徵」設立於某個系統或系統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。
目前我國網路安全存在幾大隱患,影響網路安全性的因素主要有以下幾個方面:
網路結構因素
網路基本拓撲結構有3種:星型、匯流排型和環型。一個單位在建立自己的內部網之前,各部門可能已建 造了自己的區域網,所採用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網路間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網路開放性要求。
網路協議因素
在建造內部網時,用戶為了節省開支,必然會保護原有的網路基礎設施。另外,網路公司為生存的需要,對網路協議的兼容性要求越來越高,使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網路。
地域因素由於內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網路,而是一個專用網路),網路往往跨越城際,甚至國際。地理位置復雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些「黑客」造成可乘之機。
用戶因素
企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之後,用戶的范圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網路的安全性帶來了威脅,因為這里可能就有商業間諜或「黑客。」
主機因素
建立內部網時,使原來的各區域網、單機互聯,增加了主機的種類,如工作站、伺服器,甚至小型機、大中型機。由於它們所使用的操作系統和網路操作系統不盡相同,某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網路的大隱患。
單位安全政策
實踐證明,80%的安全問題是由網路內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須制訂出一套安全管理的規章制度。
人員因素
人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網路管理員,制訂出具體措施,提高安全意識。
其他
其他因素如自然災害等,也是影響網路安全的因素。
⑨ 校園網基本網路搭建及網路安全設計分析
摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊,網路中的敏感數據有可能泄露或被修改,保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建,通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。
關鍵詞:校園網;網路搭建;網路安全;設計。
以Internet為代表的信息化浪潮席捲全球,信息 網路技術 的應用日益普及和深入,伴隨著網路技術的高速發展,各種各樣的安全問題也相繼出現,校園網被「黑」或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。
一、 基本網路的搭建。
由於校園網網路特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1. 網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷設備。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FDDI、千兆乙太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速乙太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網路平台,但它的網路帶寬的實際利用率很低;目前千兆乙太網已成為一種成熟的組網技術,造價低於ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路安全設計。
1.物理安全設計 為保證校園網信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
2.網路共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬區域網,是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中,即使是兩台計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的,它在乙太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍,並能夠形成虛擬工作組,動態管理網路。從目前來看,根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員,被設定的埠都在同一個廣播域中。例如,一個交換機的1,2,3,4,5埠被定義為虛擬網AAA,同一交換機的6,7,8埠組成虛擬網BBB。這樣做允許各埠之間的通訊,並允許共享型網路的升級。
但是,這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN,不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術,防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,並且藉助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護伺服器和網路中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下論文網需要應用基於網路的防病毒技術。這些技術包括:基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如,我們准備在主機上統一安裝網路防病毒產品套間,並在計算機信息網路中設置防病毒中央控制台,從控制台給所有的網路用戶進行防病毒軟體的分發,從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後,不但可以做到主機防範病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網路信息安全。形成的整體拓撲圖。
第二,防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備,專門用於TCP/IP體系的網路層提供鑒別,訪問控制,安全審計,網路地址轉換(NAT),IDS,,應用代理等功能,保護內部 區域網安全 接入INTERNET或者公共網路,解決內部計算機信息網路出入口的安全問題。
校園網的一些信息不能公布於眾,因此必須對這些信息進行嚴格的保護和保密,所以要加強外部人員對校園網網路的訪問管理,杜絕敏感信息的泄漏。通過防火牆,嚴格控制外來用戶對校園網網路的訪問,對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊站點的訪問,提供監視INTERNET安全和預警,系統認證,利用日誌功能進行訪問情況分析等。通過防火牆,基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問,保護重要主機上的數據,提高網路完全性。校園網網路結構分為各部門區域網(內部安全子網)和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。
內部安全子網連接整個內部使用的計算機,包括各個VLAN及內部伺服器,該網段對外部分開,禁止外部非法入侵和攻擊,並控制合法的對外訪問,實現內部子網的安全。共享安全子網連接對外提供的WEB,EMAIL,FTP等服務的計算機和伺服器,通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器,隱藏伺服器的其它服務,減少系統漏洞。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網路(第4版)[M].北京:清華大學出版社,2008.8.
[2]袁津生,吳硯農。 計算機網路安全基礎[M]. 北京:人民郵電出版社,2006.7.
[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.
⑩ 我要寫一篇關於小型辦公網網路安全與實現的畢業論文
目錄
摘要2
Abstract3
第一章案例環境4
1.1.校園網路的現狀4
1.2.改造需求5
第二章系統總體設計目標6
第三章系統設計原則7
3.1.實用性7
3.2.開放性7
3.3.先進性7
3.4.可擴充性7
3.5.可靠性7
3.6.安全性7
第四章方案實施9
4.1.方案應用模式9
4.2.結構化布線9
4.3.網路技術選擇10
4.3.1.千兆位乙太網10
4.3.2.FDDI方案11
4.3.3.ATM方案11
4.3.4.得出結論11
4.3.5.方案特點12
第五章網路設備13
5.1.網路設備組成13
5.2.網路拓撲結構圖14
5.3.網路設備配置16
結束語17
致辭18
參考文獻19
參考地址看圖片上