時間:2023-09-20 18:13:29
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇安全網絡建設范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、指導思想
以黨的十七大精神和科學發展觀為指導,以保障人民群眾生命財產安全為根本出發點,緊緊圍繞“和諧社會”和“平安*”建設大局,堅持“安全第一、預防為主、綜合治理”的方針,加強領導,健全機制,完善網絡,齊抓共管,強化安全宣傳教育,推進安全綜合治理,做到服務與監管并舉、規范與提高并重,全面推進城鎮社區和農村安全生產基層基礎工作。
二、工作目標
按照“示范帶動、全面展開、統一標準、分批實施、積極推進、限期達標”的工作要求,2009年底前全區所有村(居)安全網絡建設達到安全工作規范化標準。具體目標為:
今年10月底前,各村(居)安全監督管理辦公室機構、人員、場所、必要的設備及工具配備到位,全區村(居)安全監督員的安全培訓教育全部完成,確保參訓率達到100%,村(居)安全網絡基本形成,安全排查、事故預防等基礎工作全面展開。到今年年底,村(居)安全管理得到規范,村(居)民安全意識明顯提高,安全基礎設施相對完備,公共安全切實加強,村(居)安全建設與經濟社會和諧發展,安全狀況根本好轉,安全生產、公共安全水平全面提高,生產安全事故發生率有較大幅度下降,全區所有村(居)基本達到安全工作規范化標準。
三、主要任務及措施
(一)明確工作職責,健全工作機制
1、各鄉鎮(街道)具體負責本轄區內村(居)安全網絡創建工作,按照安全工作規范標準,認真組織實施。
2、區直有關部門根據職責分工,做好村(居)安全創建活動的業務指導工作。
3、區安委會辦公室負責村(居)安全網絡創建活動的督促協調工作。
4、區安委會建立村(居)安全網絡創建工作聯席會議制度,及時組織區安委會各成員單位召開聯席會議,協調解決創建過程中遇到的問題,研究、分析、部署下一步工作;實行履職報告和通報制度,各鄉鎮(街道)、各有關部門要及時向區安委會辦公室報送安全村(居)創建工作情況,區安委會辦公室要及時通報創建工作情況,確保創建工作實效。
(二)完善安全工作網絡,建立安全責任體系
1、完善安全工作網絡。各鄉鎮(街道)要建立由鄉鎮(街道)、村(居)委會、自然村、村辦(私人)企業組成的安全生產工作網絡。各村(居)委會要設立安全監督管理辦公室,成立安全工作領導小組,組長分別由村(居)委會主任擔任。各行政村至少要明確2名安全監督員,社區居委會至少明確1名安全監督員。安全監督員應具備與村(居)安全工作相適應的安全知識和管理能力。要完善辦公條件,各村(居)委會安全監督管理辦公室要有固定的辦公場所和宣傳教育場地,配備必需的安全防護服、安全檢查設備和工具。
2、健全安全管理制度。要切實加強村(居)安全工作制度建設和安全檔案資料管理工作。各鄉鎮(街道)要具體指導各村(居)委會制定安全例會、安全日常檢查、安全隱患排查治理、事故報告、安全教育培訓等制度。建立安全會議臺賬、轄區內生產經營單位臺賬、安全生產日常檢查臺賬、安全隱患整改銷案臺賬,做到安全管理制度完善,安全資料臺賬齊全。
3、建立安全責任體系。各鄉鎮(街道)要建立由各村(居)委會主任為本轄區安全管理第一責任人的責任體系,村(居)委會主任對本轄區的安全負總責。要與所屬各村(居)委會簽訂安全管理目標責任書。各村(居)委會要把轄區內生產經營單位的安全納入管理范圍,與村辦企業、私人企業、九小場所等生產經營單位簽定安全工作目標責任書;與村(居)房屋拆建戶、居民樓院、所住單位、房屋出租戶(租賃戶)簽訂生產安全、消防安全保證書。
(三)突出重點領域和關鍵環節,強化安全監管
各鄉鎮(街道)、村(居)、企業要按照上級安排和要求,開展經常性的安全檢查,鄉鎮(街道)每季度至少組織一次全面檢查,村(居)每月要對管轄范圍內各單位進行一次全面的安全檢查,企業要開展經常性檢查。對發現的安全隱患要落實責任人、整改措施、整改資金、整改期限進行認真整改,確保安全事故隱患及時消除。
1、加強“九小”場所和“三合一”建筑安全管理。要切實加強對“九小”場所(小餐館、小商場、小旅館、小網吧、小學校、小診所、小歌舞娛樂、小美容洗浴、小生產加工作坊)和“三合一”建筑(集生產經營、儲存、居住等功能為一體的建筑)的安全管理,落實責任,積極開展排查摸底,建立健全管理檔案。定期對“九小場所”和“三合一”建筑的用電線路、消防通道、疏散通道、指示標志、應急照明、滅火器配備等內容是否達到安全標準進行嚴格檢查,發現問題及時落實防范和整改措施,確保隱患消除。要加強對“九小場所”和“三合一”建筑主要負責人及從業人員的安全教育,提高主要負責人和從業人員的安全防范意識。
2、規范危險物品安全管理。合理布局城鎮和農村液化氣充裝點、加油點,要嚴厲打擊非法液化氣充裝點、加油點。強化對城鎮社區高層建筑和餐飲單位瓶裝液化氣使用的安全管理,加強對農藥、鼠藥及危險化學品生產、儲存、銷售和使用的監督管理,嚴禁生產、銷售和使用毒鼠強等國家明令禁止的危險物品。
3、加強村(居)交通安全工作。農村道路要建設配套的安全交通設施并保證完整有效。在學校附近、危橋、人員密集的路段應當設置警示標志和必要的減速設施,交通干道應當設置必要的人車分流設施,要切實加強湖區、庫區水上交通安全管理,確保水上交通安全。
4、加強煙花爆竹安全管理。村(居)委會要全面加強煙花爆竹生產、運輸、儲存、銷售、燃放工作。未經許可不得從事煙花爆竹的生產、運輸、儲存和銷售,嚴厲打擊非法生產、經營、儲存、銷售煙花爆竹的小作坊、小商店。要規范燃放活動,做好兒童等重點人群煙花爆竹燃放安全教育,嚴禁在易燃、易爆場所及周邊燃放煙花爆竹,集中燃放煙花爆竹的,要制定燃放安全方案和應急預案,嚴格現場安全管理,確保公眾安全。
5、加強村(居)集會安全管理。對商品交易會、夜市、燈會、慶典、廟會、集會等活動,應當完善審批程序,按照“誰主管、誰負責”和“屬地管理”的原則,制定安全方案和應急措施,活動選址與公路、易燃易爆場所保持安全距離,要加強交通疏導和銷售攤點、進場人員的現場管理,確保安全。
6、加強村(居)房屋安全管理。加強對村(居)中小學校、幼兒園、衛生院、診所等危房的排查,加大危房改造力度,提高房屋安全等級。村委會應當加強對農村拆建房的安全管理,與業主簽訂安全保證書,保證施工安全和房屋質量。農村拆建房施工隊應當具備相應的資質條件,拆建房有防護網(欄)等安全防護措施。加強對房屋出租的登記管理,禁止將房屋出租用于生產、銷售、儲存易燃易爆等危險物品。嚴禁生產經營單位“二合一”、“多合一”。
7、加強村(居)防火安全管理。發揮公安消防機構的作用,大力發展鄉鎮(街道)、村(居)民義務和駐地企業聯辦等多種形式的消防隊伍,配備消防設備,落實家庭、企業和森林防火措施,禁止農村“三夏”、“三秋”季節燃燒農作物秸桿,控制消除火災隱患源頭。
8、規范村(居)用電安全管理。供電單位要加強村(居)供電設施安裝、維修、調整、試驗、進網作業管理,定期組織村(居)供電線路安全巡查,指導村民加強自有電器的安全檢查,及時消除用電隱患。變壓器有護欄和警示標志,線路規范,用電設備各項性能和指標符合銘牌標示和安全標準。嚴禁私拉亂扯電線,杜絕使用老化線路,建筑物內嚴禁使用電線。
9、加強農業機械、農用車輛安全管理。加強農業機械、農村車輛的年檢、駕駛人員資格年審和管理工作。所有農村運輸車輛和大型農業機械都要依法登記,按要求檢驗合格,駕駛人員持證上崗。杜絕無牌無證、脫檢脫審、無作業證和持假作業證等嚴重違章行為。嚴肅查處無證車輛上路和農用車載客等違章行為,嚴厲打擊非法改裝車輛行為。
10、加強農村中小學安全管理。健全完善學校安全管理制度,定期排查治理學校危房,嚴禁用危房作教室、實驗室,加強學校食堂食品衛生安全管理;公安消防、交通管理等部門應當定期深入中小學校進行交通、防火等安全知識教育,提高廣大師生的安全意識和自我防范能力。嚴禁中小學校在馬路上上體育課、跑操和從事其它體育活動。接送學生車輛必須經檢驗合格后方可使用,從嚴查處超載等違章行為。
11、加強開山采石和農田機井安全管理。各鄉鎮(街道)、村(居)要切實加強對采石行為的安全管理,在采石場周圍劃定保護區域,嚴防飛石傷人;對積水坑塘,應當依法加強管理,設置安全警示標志,嚴防溺水傷亡事故的發生。對農田現有機井要逐一排查登記,采取專人負責、設置警示標志或安裝防護蓋等辦法,防止行人誤入。
12、搞好各種自然災害的防范工作。各鄉鎮(街道)要建立覆蓋轄區內所有村(居)的自然災害預警信息聯動機制,組織指導村(居)有針對性地組織排查、分析自然災害可能對本村(居)人民生命財產安全造成的危害,科學制定防范自然災害應急預案,定期組織應急演練,適時對村(居)民進行防范自然災害的教育,提高應對自然災害及其引發事故災難的能力。
(四)強化安全培訓教育,努力提升群眾安全意識
1、深入開展安全培訓。各鄉鎮(街道)要切實加強村(居)安全監督員的安全培訓教育,增強安全監督員的責任意識、安全意識,提高安全監督員發現問題和解決問題的能力,確保參訓率達到100%。要結合農村勞動力轉移培訓“陽光工程”,開展農村安全和務工安全培訓,提高村民和農民工的安全防護技能。各鄉鎮(街道)、村(居)要明確專人負責統計農民工、村民參加安全培訓情況,并逐級上報有關部門。
2、加強安全宣傳教育。要把“安全生產月”、“119”消防日等安全宣傳活動向村(居)延伸,充分利用廣播、電視、宣傳板報、報紙等新聞媒體,加強安全常識宣傳,普及安全生產事故預防、自防自救和應急處理知識。要在各村(居)委會、城鎮居民小區、自然村的醒目位置設置安全宣傳欄、安全畫廊和村民安全公約,在居民小區和農村關鍵部位、重要地段設置安全警示標志,強化安全知識宣傳工作。
3、開展安全文化“六進”活動。結合科技、文化、衛生“三下鄉”等活動,編印安全手冊和宣傳資料,送安全常識、安全法規進企業、進村(居)、進集市、進田頭、進家庭、進校園“六進”活動,提高廣大農民和從業人員的守法意識和安全防護能力。加強中小學生安全教育,確保受教育率達到100%,努力實現教育一個學生,帶動一個家庭,影響一片群眾的安全教育效果。
(五)建立應急救援體系,提高處置安全事故能力
各鄉鎮(街道)要指導轄區內的村(居)根據本地安全工作實際,制定安全應急救援預案,并納入鄉鎮(街道)和區級應急救援體系。要整合社會應急救援資源,加強村(居)事故應急救援隊伍建設,大力推動以地方力量為主體專群結合的應急救援隊伍建設,擴大救援隊伍覆蓋和服務范圍。加強農村和城鎮社區安全與社會治安、醫療救護等工作的協調,實現險情預警、社會動員、快速反應、應急處理的整體聯動。積極建立村(居)義務消防隊伍,各鄉鎮(街道)要加強對應急救援隊伍的指導,充分發揮其應急搶險作用,有條件的鄉鎮(街道)應配備消防專用車,努力做好應急搶險工作,提高村(居)安全保障的能力。
(六)加強安全規劃,推進安全村(居)創建工作
村(居)規劃應符合有關安全要求,農村建設規劃應當借鑒城鎮規劃經驗,將生產、生活等功能區分開,嚴禁在重大危險源和易燃易爆場所安全距離內以及在煤礦塌陷區、采石場和水庫附近等區域內建設村民居住區和公共聚集場所,嚴禁違章占壓天然氣、煤氣等危險物品運輸管線,不得在村民居住區及其周邊建設易燃易爆等危險物品生產、經營和儲存場所。對城鎮液化氣充裝站要合理布局、統一充裝,城鎮建設應當同步建設消防等公共安全基礎設施,居民小區、農民住房道路建設應當滿足消防車輛通過等安全要求。
四、工作要求
(一)加強組織領導。各鄉鎮(街道)、各部門要充分認識加強村(居)安全工作的重大意義,切實加強對村(居)安全工作的領導,把村(居)安全工作擺上重要議事日程,納入社會主義新農村(社區)建設整體規劃,列入“平安*”創建活動總體布局,將村(居)安全工作與其它工作同步規劃、同步實施、協調推動。
(二)加大支持力度。各鄉鎮(街道)、各有關部門要切實加大對村(居)的安全投入,設立公共安全隱患整改專項資金,推動安全隱患及時消除。同時,積極拓寬村(居)安全投入渠道,積極引導和鼓勵生產經營單位、村辦企業進行村(居)安全投入。各村(居)要設立事故預防基金,公布舉報電話,鼓勵村(居)民和職工舉報事故隱患和事故,對舉報人進行獎勵。同時,各鄉鎮(街道)對村(居)安全監督員要給予一定的崗位補助。
[關鍵詞]網絡安全;校園網;防火墻
前言
東北財經大學經過不斷發展、完善的信息化歷程,完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統,隨著各類應用系統的不斷上線,逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面,承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下,無論是外部黑客入侵、內部惡意使用,還是大多數情況下內部用戶無意造成的安全隱患,都給學校的網絡安全管理工作帶來較大壓力。而同時,勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等,都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2.0標準的要求,在現有的架構下對東北財經大學校園網絡進行了安全加固設計,提升了校園網主動防御、動態防御、整體防控和精準防護的能力。
1現狀及問題
在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下,學校各類業務系統在開發時難免遺留一些安全漏洞,目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備,傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出,SQL注入、XSS、CSRF等應用層攻擊,并獲得系統管理員權限,從而進行數據竊取和破壞,對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻,尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重,如有閃失,在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬,由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景,互聯網出口將會達到15Gbps帶寬以上,原有的帶寬出口網關弊端顯露:具體包括網關性能不足,無法支持大帶寬,老舊設備無法勝任大流量的轉發工作;IPv6網絡不兼容,無法平滑升級,后續無法滿足國家政策進行IPv6改造的規劃;上網審計和流量控制功能不完善,原有網關未集成上網行為審計功能,未能完全滿足網絡安全法,保障合規上網;不支持基于應用的流量控制,帶寬出口的流量控制效果不佳;對上網行為缺乏有效管理和分析手段,針對學生上網行為沒有好的管理手段和分析方法。同時等級保護2.0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早,目前校內數據中心的絕大部分已經實現了虛擬化,主要業務系統均在虛擬機上運行,虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性,但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2.0的相關要求,提高東北財經大學數據中心的整體安全防護與檢測能力,需要在以下幾個方面進行安全建設:(1)構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力,減少威脅的攻擊面和漏洞暴露時間。(2)加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅,需要增強內網的持續檢測和外部的安全風險監測能力,主要技術手段包括:網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。(3)形成全網流量與行為可視的能力。優化帶寬分配,提升師生上網體驗;過濾不良網站和違法言論,保障學生健康上網和安全上網;全面審計所有網絡行為,滿足《網絡安全法》等法律法規要求;在網絡行為可視可控的基礎之上,需要進一步形成校園網絡全局態勢可視的能力。
2網絡安全加固技術方案
按原有拓撲,將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域,并疊加云端的安全服務。各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接;校園網出口區域有多條外網線路接入,合計帶寬7Gb,為校園網提供互聯網及教育網資源訪問服務;數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群,承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統;運維管理區域主要負責對整體網絡進行統一安全管理和日志收集;校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網,存在大量PC終端供學校師生使用;另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻,開啟IPS、WAF、僵尸網絡檢測等安全防護模塊,構建數據業務區融合安全邊界。通過部署下一代防火墻提供網絡層至應用層的訪問控制能力,能夠實現基于IP地址、源/目的端口、應用/服務、用戶、區域/地域、時間等元素進行精細化的訪問控制規則設置;提供專業的漏洞攻擊檢測與防護能力,支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護,同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測;提供專業的Web應用防護能力,針對SQL注入、XSS、系統命令注入等OWASP十大Web安全威脅進行有效防護,同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力,全面保障Web業務安全;提供內網僵尸主機檢測能力,通過雙向流量檢測和熱門威脅特征庫結合,實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別,快速定位感染主機真實IP地址。在校園網出口區部署高性能上網行為管理,對校園網出口流量進行全面管控,上網行為管理設備部署在核心交換機和出口路由器之間,所有流量都通過上網行為管理處理,實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能,設備提供IPv4/IPv6雙棧協議兼容,有效滿足IPv6建設趨勢下網絡的平滑改造。為了有效管控和審計,設備選型必須能夠全面識別各種應用:(1)支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術;(2)擁有強大的應用識別庫;(3)識別并過濾HTTP、FTP、mail方式上傳下載的文件;(4)深度內容檢測:IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等;(5)通過P2P智能識別技術,識別出不常見、未來可能出現的P2P行為,進而封堵、流控和審計。通過強大的應用識別技術,無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。同時,也要提供網絡流量可視化方案,管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況(包括DOS攻擊、ARP欺騙等)等信息,直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計,借助圖形化報表直觀顯示統計結果等,幫助管理員了解流量用戶排名、應用排名等,并自動形成報表文檔,全面掌控用戶網絡行為分布和帶寬資源使用等情況,了解流控策略效果,為帶寬管理的決策提供準確依據。同時支持多線路復用和智能選路功能,通過多線路復用及帶寬疊加技術,復用多條鏈路形成一條互聯網總出口,提升整體帶寬水平。再結合多線路智能選路專利技術,將網流量自動匹配最佳出口。具備全面的合規審計及管控功能,支持對內網用戶的所有上網行為進行審計記錄,滿足《網絡安全法》的要求,能有效防范學生網上不良言論、訪問非法網站等高風險行為,規避法律風險。在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端,針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力,打通物理服務器、Vmware集群和超云集群,進行統一的主機/虛擬機邏輯安全域劃分,同時實現云內流量可視、可控,滿足等保2.0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力,實現全網風險可視,展示全網終端狀態分布,顯示當前安全事件總覽及安全時間分布全網終端安全概覽,支持針對主機參照等級保護標準進行安全基線核查,快速發現不合規項。部署于每臺VM上的端點agent,能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應,EDR與虛擬化底層平臺解耦合,解決多虛擬化環境下的兼容性問題,構建動態安全邊界。構建多維度漏斗型檢測框架,EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎,從多維度全面發現各類終端威脅。
3結語
通過該方案,提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力,簡化運維壓力,可以極大降低運維的復雜度,提升安全治理水平,達到了設計要求。
參考文獻
[1]李鍇淞.對于校園網絡建設及網絡安全的探討[J].數字通信世界息,2019(8).
[2]李鍇淞,鄒鵬.高校校園網合作運營探索[J].網絡安全和信息化,2019(9).
[3]臧齊圣.淺談校園網絡安全防控[J].計算機產品與流通,2019(9).
[4]王巖紅.高校校園網安全現狀及優化探討[J].網絡安全技術與應用,2019(8).
關鍵詞:油田內部;網絡建設;安全維護
一、針對油田網絡的安全防范
1.1對于網絡攻擊的檢測。這項內容大致是指在網絡設置防火墻,當油田企業的網絡遭受攻擊或者有病毒侵入時,就會在頁面上顯示警告信息,安全管理人員就能夠第一時間得到報警信息,采取有效的辦法來應對。在實際的網絡攻擊防范中,需要設置防火墻的地方多種多樣,比如在服務器設備上進行防火墻設置,對服務器的cpu狀態、流量變動等參數進行監控管理,這些參數在平時總是穩定在一定的值,雖然也會跟隨時間變化,但是還是可以尋找其變化規律的,若是其變化出現異常,那么報警信息就會發出,顯示在頁面上。但是對于報警信息的監控來說,需要人員不間斷地進行觀察,這對于人力資源的角度來說不能盡到最大,所以企業要大力開發新的報警方式,比如警示燈、警示音等。當然企業要有一定的自我保護能力,比如在確認遭到攻擊后馬上啟動查殺軟件、斷開網絡連接等。
1.2對于網絡資源的管理。在油田企業的網絡運行中,每日都需要設計龐大的數據流進出,而這些互數據的安全性無法得到保障,所以油田企業需要建立一個信息提取過濾系統,即能夠對進出企業的信息進行提取和過濾,判定事件的安全性與保密性,高危信息需要拒之門外,屬于企業內部保密級別的信息不能流出去,這就是這個系統的功能。而對于油田企業的設備操作系統,需要將其控制的設備的各種參數實時提取并進行判斷,這樣設備在發生事故時工作人員便可通過參數的變化來判斷機械出問題的部位。
1.3良好的上網習慣。很多網絡安全事故都是因為操作人員安全意識不高,或者上網習慣不正確,胡亂打開不安全網站、下載危險文件包等,所以企業內要推行正確的上網風氣,通過建立上網的規章制度來規范工作人員的上網習慣,以此來保證網絡安全。
二、一些常見故障的維護
對于企業中網絡故障的發生,我們要根據發生事故的規模采取不同的做法,但是大致步驟都是先對操作電腦的人進行詢問,使用了那些操作,然后對硬件軟件進行檢查,深入發掘問題。對于規模較小的安全問題,如單個機子不能上網,這時先不要請工作人員來檢查,操作人員可以先對網卡進行檢查,查看其安裝的方式是否正確。對于網卡的安裝正誤來說,最常見的檢查方式就是Ping本機的地址,通過其是否通過的表現來判斷網卡的問題。若是這步操作行不通的話,那么很有可能就是網卡和計算機中的設備有沖突,通過查看設備管理器來查看網卡究竟與那個設備有沖突,也可以換張網卡再試一次。若是硬件沒問題,那么借來依次檢查雙絞線的狀態、交換機的端口,這些都有備用的參考資料,可以通過對照來發現問題。對于較大規模的停網現象,也要根據不同情況加以區別。若是網絡中斷的計算機屬于同一系統,即在一個VLAN的控制下運轉,那么首先要對連接不同樓層的路由器的配置進行檢查。上述是按VLAN來區分維護方式的,而是否屬于同一交換機也可以作為一種區分標準。若是不能上網的機子屬于同一交換機,而且不能與企業內其他交換機控制的電腦通訊,那么這種情況大多數是交換機死機,重啟即可,若是重啟解決不了問題,那么有可能使某一電腦自身的網卡故障導致的,逐個檢查就好。當某一交換機與多臺電腦連接時,因為承受的負載過高,使得交換機無法運行也會出現死機的現象,此外因為過量的運載交換機與上級的網絡設備的連接也可能斷裂。
作者:丁啟寧 單位:河南油田澗河社區
參考文獻:
關鍵詞:計算機局域網;網絡安全;措施
中圖分類號:TP393.08
隨著Internet技術和應用的發展,人類與它的關系也越來越密切。在國內,像電子商務、政府上網工程和寬帶等這些圍繞Internet應用技術的建設正在展開。就在人類享受網絡的便利與快捷的時候,面臨的安全危機也是前所未有的,尤其現在的網絡的環境更是復雜,安全、有效、安全的網絡連接已成為信息化必須有的條件。加強建設安全計算機局域網絡可以有效改善信息質量,降低信息應用風險,已經成為當前網絡建設和管理的關鍵。
1 計算機局域網安全應用區域及意義
計算機局域網是在一定區域范疇內多個計算機網絡集成的系統,該區域的限定較為自由,可以是單獨的辦公室,還可以是社區、學校等。不同硬件系統構成的計算機局域網,安全質量不相同。在當前的使用過程中,局域網主要應用于企業、學校以及其他一些辦公場所,在一些公共場所也有所普及。
局域網擁有資源共享性等優點,企業的局域網在員工進行工作處理時更加便利,更加有利于工作的協調,可以改善員工的工作效率,對企業的發展和人們的正常生活具有至關重要的作用。但是建立在上述基礎上的局域網保護力度一般較為低下,保護操作不完善,非常容易出現機密泄露、數據丟失、網絡濫用等安全問題,造成用戶經濟效益受損。
2 局域網安全威脅分析
局域網一般結構簡單、數據傳輸率高、可行性高、投資少,具有非常好的可實施性,應用技術較為簡便。但是由于該網絡的技術質量較為低下,安全措施不到位等導致使用過程中非常容易受到網絡病毒或黑客的攻擊,造成網絡安全質量降低。常見的安全威脅主要包括:
網絡欺騙軟件:網絡欺騙軟件主要是通過局域網的資源共享特點,對數據、機密文件、實時信息等進行篡改和盜取,造成數據的安全性大打折扣。局域網的數據備份操作和數據安全管理不足在一定程度上導致網絡欺騙軟件造成的安全問題擴大,導致數據丟失現象加劇。
網絡IP地址沖突:在網絡使用高峰,極易造成網絡地址沖突,致使一部分的計算機無法連接網絡,十分影響人們的日常工作等。對于IP沖突、ARP攻擊和網絡洪水等問題在局域網內出現頻率十分高,嚴重影響了正常的網絡秩序。局域網這種特殊性容易造成病毒傳播快、數據安全性過低,網內的用戶相互傳播感染,病毒屢殺不盡、數據丟失無法阻止等現象。
服務器互聯:服務器是阻止網絡互聯過程中可能存在的風險問題的關鍵。但是在當前大多數局域網中并不存在防火墻一類的服務器實施病毒或黑客入侵保護,導致局域網非常容易受到外部的入侵和攻擊,造成局域網的風險上升。
保障和意識不深入。一些用戶在使用U盤、移動硬盤的過程中不存在安全保護意識,沒有及時對數據進行安全檢測,導致U盤和移動硬盤中的病毒大面積傳播,造成計算機本身數據收到威脅。與此同時,計算機病毒隨著區域網的使用,導致病毒的感染局域網,造成局域網癱瘓或運行障礙。
3 建設安全計算機局域網的相關措施
局域網的普及對于企業發展起著關鍵性作用,加強網絡安全意識,實現對內網的集中同步控制,數據信息進行有效備份,不僅可以確保用戶的網絡安全,還可以促進經濟發展,對當前信息網絡建設具有非常積極的意義。
3.1 創建獨立完全局域網絡服務器
我國當前的計算機局域網主要沒有針對服務器進行全方位的保護和管理,這在很大程度上降低了計算機局域網的安全質量,方便了病毒、黑客的攻擊。因此在對計算機局域網進行建立的過程中要對服務器進行單獨創設。,首先要安裝防火墻。通過防火墻阻止外部網絡進入局域網內部,對外部網絡進行訪問。防火墻在很大程度上提高了局域網網絡安全,可以有效阻止外部網絡侵襲,限制外部網絡入侵造成的損失。其次,進行入侵檢測。通過安全控制軟件進行入侵彌補防火墻相對靜態防護的缺陷。最后,對計算機安全系統進行防毒內部軟件的安裝,確保從企業內部進行殺毒的控制,提高網絡安全的效果。要在計算機局域網內部進行服務器控制監測,對系統內部的各種病毒庫及時進行更新,保證系統的綜合使用質量,實現全過程實時監督和管理。要對計算機內部系統中遭受的攻擊及時進行中斷,通過服務器進行數據外部保護,將存在的攻擊及時報告病毒中心,實施全面殺毒,提高計算機局域網安全水平。
3.2 對網絡使用者進行培訓
網絡使用者是網絡安全的重要環節,如果可以在這個環節加強安全保障,那么,網絡安全隱患將大大減小。所以,對網絡的使用者以及網絡管理者應該加強網絡安全使用培訓,加強網絡維護,降低網絡隱患。相關人員要對局域網使用人員的安全防范意識進行提高,對人員進行計算機局域網絡安全教育,確保人員嚴格依照計算機局域安全網使用方法進行操作,降低局域網中可能出現的感染、攻擊、損壞等現象。要對管理人員的管理責任進行明確,對對網絡使用人員的管理力度進行強化,加強管理控制質量,從而實現計算機局域網網絡的安全。對用戶進行知識網絡系統培訓,進行培訓實踐。通過對用戶進行培訓,確保用戶對網絡上的信息學會篩選,正確運用網絡,發揮網絡自身優勢,增強用戶的防范意識以及應對網絡安全風險的能力。
3.3 實施數據備份管理
當計算機系統受到攻擊后非常容易對信息、數據等進行竊取,導致局域網形成損壞。因此在進行計算機局域網系統管理的過程中,相關人員要對計算機系統漏洞、網絡等進行全面控制,降低不安全因素對計算機的攻擊,減少數據的損失。相關人員要對計算機局域網數據進行實時備份,對備份制度進行建立和管理,保證文件、信息的安全效果。進行數據備份主要是進行主機硬盤和列陣的數據復制,確保數據貯存在存儲介質中,保障局域網的安全性。將數據轉移到硬質介質中,防止出現誤刪、病毒攻擊等狀況,提高局域網的可靠性。除此之外,計算機局域網數據備份還包括對系統補丁、磁盤加密等的處理,通過對計算機補丁的監控安裝,降低可能出現的安全問題。要對磁盤進行定期查毒,對磁盤備份文件進行定期整理,刪除冗余注冊表等,實現系統安全優化。
3.4 局域網加密處理
計算機局域網加密處理技術主要包括不可逆加密技術、對稱加密技術、不對稱加密技術三種。通過對上述技術進行合理利用,可以在很大程度上改善局域網的保護效果,降低局域網絡可能出現的文件、信息、數據泄露、篡改等情況,對計算機局域網具有至關重要的作用。加密技術進行落實時主要是通過不同的算法形成,通過常規密碼算法或公鑰密碼算法,對信息數據進行統一處理,實現加密操作。常規密碼算法指在進行加密的過程中對雙方密碼進行處理,保證加密密碼和解密密碼的完整性和統一性,確保接收體系能夠有效實現信息傳遞,保證信息傳遞的安全性。公鑰密碼主要指在進行加密處理的過程中傳遞信息與接收信息部分使用的密碼不同,這種方法可以有效提高局域網絡的開放性,在很大程度上簡化了加密操作,降低了管理難度。
4 總結
計算機局域網的安全建設是實現局域網安全運行的關鍵,是實現信息化網絡安全建設的基礎。在進行計算機局域網建設的過程中,管理機構要創建獨立完全局域網絡服務器、對網絡使用者進行培訓、實施數據備份管理和局域網加密處理,降低局域網可能存在的風險和隱患,確保局域網處于安全的環境中。
參考文獻:
[1]蘇佳,郝巖君,劉文瑾.淺談計算機局域網網絡的安全建設[J].計算機光盤軟件與應用,2010,7(13):16-17.
[2]沈宇.計算機局域網網絡安全建設的探討[J].科技傳播,2012,3(24):78-79.
[3]許曉聰.計算機局域網網絡的安全防護策略[J].計算機光盤軟件與應用,2011,4(10):24-25.
關鍵詞:計算機 網絡安全 網絡建設 安全技術
中圖分類號:TN711 文獻標識碼:A 文章編號:
隨著計算機網絡的不斷發展,信息全球化已成為人類發展的現實。但由于計算機網絡具有多樣性、開放性、互連性等特點,致使網絡易受攻擊。具體的攻擊是多方面的,有來自黑客的攻擊,也有其他諸如計算機病毒等形式的攻擊。因此,網絡的安全措施就顯得尤為重要,只有針對各種不同的威脅或攻擊采取必要的措施,才能確保網絡信息的保密性、安全性和可靠性。
1威脅計算機網絡安全的因素
計算機網絡安全所面臨的威脅是多方面的,一般認為,目前網絡存在的威脅主要表現在:
1.1非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
1.2信息泄漏或丟失
指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。 1.3破壞數據完整性
以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加、修改數據,以干擾用戶的正常使用。
1.4拒絕服務攻擊
它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。
1.5利用網絡傳播病毒
通過網絡傳播計算機病毒,其破壞性大大高于單機系統,而且用戶很難防范。
2網絡安全建設方法與技術
網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略,并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全,需要從多個方面采取對策。攻擊隨時可能發生,系統隨時可能被攻破,對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。
2.1計算機病毒防治
大多數計算機都裝有殺毒軟件,如果該軟件被及時更新并正確維護,它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時,對于病毒庫中已知的病毒或可疑程序、可疑代碼,殺毒軟件可以及時地發現,并向系統發出警報,準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有,對于不明來歷的軟件、程序及陌生郵件,不要輕易打開或執行。感染病毒后要及時修補系統漏洞,并進行病毒檢測和清除。 2.2防火墻技術
防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合,能在內部網絡與外部網絡之間構造起一個"保護層",網絡內外的所有通信都必須經過此保護層進行檢查與連接,只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問,也可以控制內部對外部特殊站點的訪問,提供監視Internet安全和預警的方便端點。當然,防火墻并不是萬能的,即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數據下的通道程序。根據需要合理的配置防火墻,盡量少開端口,采用過濾嚴格的WEB程序以及加密的HTTP協議,管理好內部網絡用戶,經常升級,這樣可以更好地利用防火墻保護網絡的安全。
2.3入侵檢測
攻擊者進行網絡攻擊和入侵的原因,在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,比如操作系統、網絡服務、TCP/IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制,那么即使攻擊者已經侵入到內部網絡,侵入到關鍵的主機,并從事非法的操作,我們的網管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。
基于網絡的IDS,即入侵檢測系統,可以提供全天候的網絡監控,幫助網絡系統快速發現網絡攻擊事件,提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數據流,當檢測到未經授權的活動時,IDS可以向管理控制臺發送警告,其中含有詳細的活動信息,還可以要求其他系統(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門,它能在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
2.4安全漏洞掃描技術
安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點,讓網絡管理人員能在入侵者發現安全漏洞之前,找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描,網絡漏洞掃描,以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新,操作系統的漏洞隨時都在,只有及時更新才能完全的掃描出系統的漏洞,阻止黑客的入侵。
2.5數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。
2.6安全隔離技術
面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求,全新安全防護理念"安全隔離技術"應運而生。它的目標是,在確保把有害攻擊隔離在可信網絡之外,并保證可信網絡內部信息不外泄的前提下,完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。
2.7黑客誘騙技術
黑客誘騙技術是近期發展起來的一種網絡安全技術,通過一個由網絡安全專家精心設置的特殊系統來引誘黑客,并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐(Honeypot)系統,其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄,網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后,仍不知曉自己所有的行為已處于系統的監視之中。為了吸引黑客,網絡安全專家通常還在蜜罐系統上故意留下一些安全后門來吸引黑客上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假信息。這樣,當黑客正為攻入目標系統而沾沾自喜的時候,他在目標系統中的所有行為,包括輸入的字符、執行的操作都已經為蜜罐系統所記錄。有些蜜罐系統甚至可以對黑客網上聊天的內容進行記錄。蜜罐系統管理人員通過研究和分析這些記錄,可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平,通過分析黑客的網上聊天內容還可以獲得黑客的活動范圍以及下一步的攻擊目標,根據這些信息,管理人員可以提前對系統進行保護。同時在蜜罐系統中記錄下的信息還可以作為對黑客進行的證據。
關鍵詞:ISP企業;網絡安全
1概況
隨著互聯網呈幾何倍數的發展,我們的生活越來越依賴互聯網,吃穿住行幾乎都可以用網絡來搞定。但是從網絡誕生那一刻起,就出現了其中不安定的因素,我們對網絡越依賴,一旦網絡安全出現問題,造成的損失也就會越大,作為一家運營商公司,更迫切的需要維護好自己的網絡安全。
2現狀和分析
2.1目標公司發展現狀
某國有ISP企業省份公司,擁有用戶各類20萬左右,因為規模不大,所以在過去幾年,一直把發展用戶擴大市場放在首要位置,而忽視了網絡信息安全方面的建設。這是一方面當時的情勢所迫造成的。隨著用戶的發展和企業壯大,如今,省內ISP網絡構架屬于從核心層出口節點開始,到下層的核心匯聚層交換機鏈接到底層BRAS設備,都是做的雙冗余保護,在網絡結構上,屬于合理的布局。并且設立了多個核心的IDC機房和設備機房,存放各類資源服務器為網內的用戶提供服務和各網絡專業核心的設備。
2.2暴露出來的問題
隨著用戶的增加,越來越多的信息網絡安全問題會開始暴露,比如會有非法的流量開始試探底層設備的端口,并且可以看到某些設備會出現異常的IP地址嘗試登入,或者底層設備的鏈路利用率突發暴漲,雖然這些問題都被及時發現并處理了。但是并不是說這樣處理掉一兩起的安全問題事情就結束了,從中暴露出網絡安全問題其實是很嚴重的。
(1)手段單一,只有依靠簡單的防火墻,或者是依靠核心設備本身的訪問控制列表對數據包進行篩選,缺乏更多有效的系統手段幫助人們進行監控保護網絡,一直長期下去的話面對一些網絡層以上的疑難問題也就只能束手無策。
(2)各部門對信息的安全性重視不夠,對信息保密的重視層度不夠,也沒有接受過相關的社會工程學方面的培訓,安全意識淡薄。
(3)缺乏專業性的技術團隊和思路,完全是在閉門造車。到現在處理問題的思路在技術層次還是停留在路由和交換級別的。現在只能把每個事件單獨當作一個單獨事件來處理,很難避免下次不會發生重復的問題。
(4)從整個網絡的構架開始搭建起來,就沒有把網絡安全放在重要的位置,剛開始BRAS設備是有了雙向冗余就開始上線,本應該考慮更多的迂回保護措施都是后期的時候慢慢彌補上去的。物理上的冗余保護如此,網絡的安全保護也一直是沒有跟上網絡拓撲的擴展。
3網絡安全的建設
3.1從認識思想上進行轉變
要建設公司的電信級網絡安全架構,需要公司從上到下有一個認識,就是對安全危機的認同感,網絡的安全投入的確是燒錢,并且它后期還會需要不斷的成本投入。期待它能馬上給你利潤回報,那是不可能的。但是看看合作企業競爭對手,無一不是對安全問題異常的重視。同時要做好網絡安全,我們還要開始學,向服務商學習,向設備商學習。一步步踏實做下去。
3.2改變公司組織結構
安全部門并不同于一般的網撐中心,數據中心,它需要專注地負責網絡防御檢測和處理各類的網絡安全問題,因此如果將這樣一個安全部門掛靠在網絡支撐下面是不合適的,從專業來看,網絡安全防御,社工防御,欺騙滲透防御都是它的職責。而且將來的網絡布局,都會需要他們提供安全方面的意見,所以這必須是一個獨立的部門,來區別于網絡建設部和網絡支撐中心。
3.3建立網絡安全制度
在公司內部建立網絡安全規范的制度,強制性地規定員工登入設備的權限和密碼設置原則,要求登入口令的密碼長度和復雜成分,區分開每個人的職責范圍,個人的權限只能存在幾臺服務器上,避免被人利用同樣的賬號密碼登入所有的設備。并且要求定期更換密碼。設置強硬的核心機房準入制度來防止設備遭受最直接的物理攻擊。對于敏感重要的數據,要定期做異地備份。
3.4建立可靠的安全網絡
要建立行之有效的安全網絡體系架構,建議對整個網絡進行統一的部署,構建網絡安全架構的安全設備類型通常有:
防火墻:firewall,可以根據IP地址或服務端口過濾數據包,可以通過制定過濾規則來限制。
流量分析系統:它主要針對網內的流量流向鏡像進行監控、分析、不僅可以提供用戶的使用偏好分析,更多的可以監控網內的流量過去和現在的數據是否異常。
流量采集分析清洗設備:也叫ADS,它可以針對于網內的異常流量進行篩選和清洗。特別是對于現在的DDOS攻擊有很好的效果。
Web應用防護系統:也稱WAF。WEB應用防御產品,針對應用層的攻擊做出反應。是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。
入侵防御檢測設備:也稱IPS,這是對防火墻和殺毒軟件的一個補充。可以有效發現阻止4到5層的異常流量,其中還有的入侵預防系統,通過正常數據以及數據之間關系的通常的樣子,可以對照識別異常。
審計系統:針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。
值得一提的是隨著安全技術的演進,今后的防火墻將會兼容ADS之類的流量監視和清洗功能,是否還能將WAF和IPS設備的功能融合進來尚不得而知,但是展望安全網絡的科技樹發展的方向,這必然是未來安全行業的發展一段趨勢。考慮到設備的使用安全性,集眾家所長的安全設備固然能夠減少了接入的層次,降低了生產成本。
關于安全網絡的組網,還是要嚴格按照雙機備份的原則,特別是涉及到防火墻,必須做到雙機冗余的原則,保證一臺設備宕機的情況下,另一臺能正常工作,并且不影響到網絡流量的正常轉發。建議還是聽從專業廠家或者服務商提供的方案進行部署。
關于DMZ區域和IDC的網絡安全構架建設:DMZ即緩沖區,也是我們部署web服務器,DNS系統,3A系統,ftp服務器的區域,建議統一進行規劃。減少網絡的復雜性,便于管理。包括IDC服務器組,如果條件允許。也應該統一納入網絡中。
3.5建設前后的測試
有人說過一個最大的錯誤是假定安全設備本身是安全的。所以合理的部署和計劃是十分必要的而且重要的。開始建設前,一方面應該進行足夠的壓力測試,從設備的本身是否安全開始到演示當設備在網的時候出現的各種情況,來判斷方案是否可行,這是個漫長而枯燥的過程,但卻是十分必要,沒有人愿意在完成建設后重新趕工修改自己的網絡部署,另外一方面必須和廠家、集成商、服務商溝通好,要求其能夠提供足夠的應急預案來保障安全的運行。工程完成以后就應該開始進行各種的測試,測試設備能否正常工作發揮作用,已經能否順利的升級,及時更新補丁等等。如果有條件,還應該定期執行漏掃和進行滲透測試。
關鍵詞:校園網;網絡搭建;網絡安全;設計。
以Internet為代表的信息化浪潮席卷全球,信息網絡技術的應用日益普及和深入,伴隨著網絡技術的高速發展,各種各樣的安全問題也相繼出現,校園網被“黑”或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網絡安全需要從網絡的搭建及網絡安全設計方面著手。
一、基本網絡的搭建。
由于校園網網絡特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(制作部門和辦公部門間的訪問控制),我們采用下列方案:
1.網絡拓撲結構選擇:網絡采用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的局域網拓撲結構。節點具有高度的獨立性,并且適合在中央位置放置網絡診斷設備。
2.組網技術選擇:目前,常用的主干網的組網技術有快速以太網(100Mbps)、FDDI、千兆以太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網絡平臺,但它的網絡帶寬的實際利用率很低;目前千兆以太網已成為一種成熟的組網技術,造價低于ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦采用千兆以太網為骨干,快速以太網交換到桌面組建計算機播控網絡。
二、網絡安全設計。
1.物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.網絡共享資源和數據信息安全設計針對這個問題,我們決定使用VLAN技術和計算機網絡物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其它VLAN中,即使是兩臺計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的,它在以太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。從目前來看,根據端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員,被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。
但是,這種劃分模式將虛擬網絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計我們采用防病毒技術,防火墻技術和入侵檢測技術來解決相關的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,并且借助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護服務器和網絡中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下需要應用基于網絡的防病毒技術。這些技術包括:基于網關的防病毒系統、基于服務器的防病毒系統和基于桌面的防病毒系統。例如,我們準備在主機上統一安裝網絡防病毒產品套間,并在計算機信息網絡中設置防病毒中央控制臺,從控制臺給所有的網絡用戶進行防病毒軟件的分發,從而達到統一升級和統一管理的目的。安裝了基于網絡的防病毒軟件后,不但可以做到主機防范病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網絡信息安全。形成的整體拓撲圖。
第二,防火墻技術。企業防火墻一般是軟硬件一體的網絡安全專用設備,專門用于TCP/IP體系的網絡層提供鑒別,訪問控制,安全審計,網絡地址轉換(NAT),IDS,VPN,應用等功能,保護內部局域網安全接入INTERNET或者公共網絡,解決內部計算機信息網絡出入口的安全問題。
1.1網絡病毒的危害
對于計算機的網絡病毒來講,其每一天都在不斷的進行變化,類別多種多樣,傳播的范圍相對較廣,傳播的速率較快,破壞性相對較強。大多數網絡病毒都是利用電子郵件或者網頁共享等形式傳播的。其作為一項攻擊性較強的程序,能夠長時間的隱藏在網絡軟件系統中,也能夠快速的攻擊計算機網絡,令其處于癱瘓,通過軟件系統的程序運轉及數據共享實施傳播。其不僅能夠對計算機的網速造成影響,同時還會損壞計算機內的重要資源與程序,嚴重的甚至使計算機的硬件設備出現損壞。
1.2非法侵入的危害
對于非法侵入來講,其存在很多形式,對信息的高效性及完成性造成選擇性的損壞,從而使部分數據丟失或外泄,非法占有系統資源。非法侵入能夠在不危害網絡的前提下截取重要的信息、數據,也能夠使服務系統崩潰。較為著名的“蠕蟲病毒”就是非法侵入的一種。
2維護計算機網絡安全的具體措施
2.1對計算機的網絡進行安全維護
想要保證計算機網絡環境的安全,可以從以下幾方面入手:其一,實行密碼的方法。當用戶通過網絡互相通信器件,最主要的威脅就在于信息的竊取。而利用一些復雜的密碼,并且每隔一段時間進行更換的方法就能夠高效的預防信息竊取的情況出現;其二,實行防火墻的方法。將計算機內部的防火墻打開,能夠良好的預防來自互聯網的攻擊。對于防火墻來激昂,其能夠在計算機同外部網絡環境之間建立一層防護。一般防火墻有個人計算機防火墻及硬件防火墻兩種類別;其三,定期對計算機及網絡系統的情況進行檢查。通過這種方法能夠及時發現系統故障,從而減少危害。同時,需要對計算機網絡的設備及主服務器進行細致檢查,如遇問題,盡快修復,從而確保計算機始終處在最佳的運行狀態下。
2.2預防病毒入侵
因為病毒侵染造成計算機不能順利工作的情況經常出現,一般計算機在感染病毒以后會發生藍屏、死機、無法啟動等情況。當計算機應用一定時間以后,系統速率會變慢,甚至發生數據丟失的問題。現今,網絡是傳遞病毒的重要途徑,想要保證計算機可以正常應用,高效預防病毒入侵,就需要從以下幾方面入手進行預防:其一,為計算機加裝正版的殺毒軟件,例如:瑞星、360等,同時確保殺毒軟件始終處在自動更新的情況,每個一段時間需要對軟件的殺毒及更新情況進行檢查;其二,在下載并安裝一些軟件前需要慎重,安裝前先通過殺毒軟件進行檢查,然后才能夠進行安裝操作。部分壓縮包得軟件能夠自行安裝,所以,不可以隨意打開,而需要先將其解壓,殺毒后方可進行安裝;其三,每個一段時間需要對計算機實施全面、整體的殺毒操作,同時經常關注新聞,了解是否存在新型的病毒;其四,每隔一段時間下載同時安裝系統的安全補丁。現今,大多數軟件公司都會及時的其產品的補丁。如果程序存在漏洞,很容易讓人有可乘之機,通過定期檢查并安裝補丁能夠保證計算機安全工作。
2.3保證數據信息的安全
在計算機內,有很多重要的數據信息,如果丟失,很容易造成個人或集體的利益受到傷害,所以,需要保證數據信息的安全。對數據信息進行加密處理能夠高效增強計算機及數據的安全性與保密性,并且預防出現外部損壞及丟失等情況。利用各種加密的方法確保數據各個過程處在安全狀態,就算被他人獲取,也無法進行識別。盡管數據加密的方法較為被動,然而其安全性能相對較高,是不可缺少的網絡安全維護措施之一。
3總結
目前雙向網在5~1000MHz的范圍內可劃分為:上行頻段:5~65MHz;過度頻段:65~87MHz;FM頻段:87~108MHz;下行頻段:108~1000MHz。③數字電視。數字電視一種將節目的全部過程利用數字處理信號的方式來運行或利用二進制數字串所形成的數字流傳播的電視。基于DVB技術標準的廣播式和“交互式”的數字電視。是采用了先進客戶管理技術,可以為客戶才來更多好節目,提高了畫面的清晰度和質量。它還可以訂購各種業務,如互動電視、高清晰度電視、標準清晰度電視、BSV液晶拼接等業務。與傳統電視相比,數字電視音質更好、節目數量更多、畫面更清晰亮麗。
2現階段數字電視雙向網絡存在的安全問題
在雙向網絡出現之前,數字電視一直使用的是單向網絡。由于單向網絡與網絡連接少,收費低,可獲取的利益少,所以單向網絡安全問題多數集中在授權的安全,不要出現盜版,不要出現黑戶問題上。而數字電視雙向網絡業務更多、用戶的增值項目也多,使得他人可利用數字電視雙向網絡賺取大筆利潤,由此將引起大量的黑客對數字電視雙向網絡的關注。數字電視雙向網絡不像數字電視單向網絡保守,其安全問題不僅僅像數字電視單向網絡那樣只出現在終端而是前段終端都可能出現。還要考慮終端對前端的影響和惡意攻擊,這使得數字電視單向網絡的安全建設單獨大大加大。
3數字電視雙向網絡的安全建設的建議
3.1建立一個開放性、標準性,能夠取得第三方認證的系統結構
推薦使用兩種技術,一個是公約基礎設施(PublicKeyInfrastructure,PKI)技術。另一個是安全套接層(SeeureSocketLayer,SSL)技術。①公約基礎設施(PublicKeyInfrastructure,PKI)技術。所謂公約基礎設施(PublicKeyInfrastructure,PKI)技術其實就是一個用公鑰概念、技術實施和提供安全服務的具有普適性的安全基礎設施。公約基礎設施(PublicKeyInfrastructure,PKI)技術是一種新的安全技術,它由公開密鑰密碼技術、數字證書、證書發放機構(CA)和關于公開密鑰的安全策略等基本成分共同組成的。公約基礎設施(PublicKeyInfrastructure,PKI)技術是利用公鑰技術實現電子商務安全的一種體系,是一種基礎設施,網絡通訊、網上交易是利用它來保證安全的。公約基礎設施(PublicKeyInfrastructure,PKI)技術是提供公鑰加密和數字簽名服務的系統或平臺,目的是為了管理密鑰和證書。一個機構通過采用公約基礎設施(PublicKeyInfrastructure,PKI)技術框架管理密鑰和證書可以建立一個安全的網絡環境。公約基礎設施(PublicKeyInfrastructure,PKI)技術包括四個主要部分:X.509格式的證書(X.509V3)和證書廢止列表CRL(X.509V2);CA操作協議;CA管理協議;CA政策制定。②安全套接層(SeeureSocketLayer,SSL)技術。SSL(SecureSocketLayer)安全套接層是Netscape公司率先采用的網絡安全協議。它是在傳輸通信協議(TCP/IP)上實現的一種安全協議,采用公開密鑰技術。SSL(SecureSocketLayer)安全套接層應用廣泛,各種網絡都可以使用它,不僅如此,還提供了三中安全服務。SSL(SecureSocketLayer)安全套接層是一種利用TCP的可靠的端到端的安全服務,而且他還是一個二層協議,底層是SSL記錄層,此層是用來封裝各種上層協議。還有一層是SSL的握手協議,它的作用是在服務器和客戶機之間傳送數據之前協商加密算法和加密密鑰,服務器將通過客戶及提出的加密算法來選擇最適合的算法。還有三個更高層的協議,分別為SSL的一部分:握手協議、修改密文規約協議和告警協議。有這兩項技術作為基礎的數字電視雙向網絡安全系統,既能獲取第三方的認證,還能增加安全性。
3.2網絡內容安全
網絡是把雙刃劍。現在網絡充斥著各種不良信息,還有一些不法分子制造網絡病毒損害電腦,盜取別人的個人信息和重要數據以此來謀取利益。當然隨著網購的興起,更有不法分子通過網絡盜取和騙取錢財。由此,數字電視雙向網絡應該有一個安全的環境,保護用戶的個人信息和錢財,還要防止病毒的侵入。我建議利用消息鑒別碼(MessageAuthenticationCode,MAC),消息鑒別碼(MessageAuthenticationCode,MAC)可以鑒別信息的來源是否合法還可以保證信息的完整性。消息鑒別碼(MessageAuthenticationCode,MAC)有一個認證標識是用公開函數和密鑰然后產生一個長度一定的值,消息鑒別碼用這個標識來判斷信息的完整性。利用一個密鑰生成一個大小一定的數據塊(MAC),將其與信息一起傳送,接收方利用發送方共享的密鑰進行鑒別認證等.消息鑒別碼(MessageAuthenticationCode,MAC)僅僅認證消息MAC的完整性(不會被篡改)和可靠性(不會是虛假的消息或偽造的消息),但不負責數據MAC是否被安全傳輸。之所以要放棄信息的保密性(使用公鑰加密私鑰簽名的對稱密碼協議可以很好的保證信息MAC的保密性、完整性和可靠性),是因為在某些場合(政府部門公告、網絡管理通知等)并不需要對信息進行加密;或者是有些場合(例如廣播信息等)需要長時間傳輸大量信息。由于MAC函數是單向函數,因此對明文M進行摘要計算的時間遠比使用對稱算法或公開密鑰算法對明文加密的時間要小。
3.3保證用戶信息的安全
在進行業務費用支付的時候,會要求用戶輸入個人資料和密碼等。保護用戶的資料和密碼就成為結構系統需要注意的事項。虛擬鍵盤技術大可解決此問題。有了虛擬鍵盤技術,機頂盒會出現一個鍵盤,鍵盤上的數字都是隨機排列的,這樣就算不法分子偷到了遙控器的紅外數據,得到的也僅僅是上下左右,而不是用戶密碼,從而保證了信息輸入的安全。
4結語
