網(wǎng)絡(luò)安全設(shè)計(jì)方案總結(jié)范文

時(shí)間:2024-02-21 18:00:45

導(dǎo)語(yǔ):如何才能寫好一篇網(wǎng)絡(luò)安全設(shè)計(jì)方案總結(jié),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)安全設(shè)計(jì)方案總結(jié)

篇1

如果電力系統(tǒng)中缺少嚴(yán)格的驗(yàn)證機(jī)制,或者不同業(yè)務(wù)系統(tǒng)之間缺乏有效的訪問(wèn)控制,可能導(dǎo)致非法用戶使用到關(guān)鍵業(yè)務(wù)系統(tǒng),引發(fā)非法侵入的業(yè)務(wù)安全風(fēng)險(xiǎn)。

2電力行業(yè)計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)安全結(jié)構(gòu)的內(nèi)容

基于電力行業(yè)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),為保障整個(gè)電力系統(tǒng)的安全、穩(wěn)定運(yùn)行,必須建立一套符合電力行業(yè)自身特點(diǎn)的網(wǎng)絡(luò)安全結(jié)構(gòu)。而所謂電力行業(yè)計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)的安全結(jié)構(gòu),即是應(yīng)用和實(shí)施一個(gè)基于多層次安全系統(tǒng)的全面網(wǎng)絡(luò)安全策略,在多個(gè)層次上部署相關(guān)的安全產(chǎn)品,以實(shí)現(xiàn)控制網(wǎng)絡(luò)和主機(jī)存取,降低系統(tǒng)被攻擊危險(xiǎn),從而達(dá)到安全防護(hù)的目的。網(wǎng)絡(luò)安全結(jié)構(gòu)的內(nèi)容主要有以下幾個(gè)方面:2.1網(wǎng)絡(luò)安全防護(hù)結(jié)構(gòu)體系電力行業(yè)網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)是網(wǎng)絡(luò)安全域的劃分。根據(jù)《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》的要求,電力系統(tǒng)的網(wǎng)絡(luò)可劃分為四級(jí)網(wǎng)。其中,電力調(diào)度生產(chǎn)控制與實(shí)時(shí)監(jiān)測(cè)可作為一、二級(jí)網(wǎng),它與三、四級(jí)網(wǎng)絡(luò)是進(jìn)行物理隔離的。第三級(jí)網(wǎng)為DMIS網(wǎng),第四級(jí)網(wǎng)為MIS網(wǎng),網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)也是第三、第四級(jí)網(wǎng)絡(luò)。根據(jù)整個(gè)電力行業(yè)計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)的特點(diǎn),還可對(duì)三、四級(jí)網(wǎng)絡(luò)進(jìn)行進(jìn)一步安全域的劃分,并劃清網(wǎng)絡(luò)的邊界,綜合采用路由器、防火墻、入侵監(jiān)測(cè)等技術(shù)對(duì)三、四級(jí)網(wǎng)絡(luò)進(jìn)行綜合防護(hù)。2.2安全防護(hù)技術(shù)的應(yīng)用電力行業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù),主要包括了防護(hù)墻技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)、病毒防治技術(shù)等,這些安全防護(hù)技術(shù)作為網(wǎng)絡(luò)防護(hù)結(jié)構(gòu)的基礎(chǔ)組成部分,在統(tǒng)一的安全策略指導(dǎo)下,以保障系統(tǒng)的整體安全。其中,防火墻技術(shù)、入侵檢測(cè)技術(shù)和漏洞掃描技術(shù),主要是針對(duì)內(nèi)部信息系統(tǒng)不同安全域進(jìn)行的安全防護(hù);而病毒防治技術(shù)則主要是面對(duì)電力系統(tǒng)內(nèi)的客戶端及各種服務(wù)器提供安全服務(wù)。

3電力行業(yè)計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)安全結(jié)構(gòu)的設(shè)計(jì)

3.1網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)的原則

(1)安全性原則。是指網(wǎng)絡(luò)安全結(jié)構(gòu)的設(shè)計(jì)方案,應(yīng)充分確保電力系統(tǒng)的安全性;所采用的安全技術(shù)產(chǎn)品應(yīng)有著良好的產(chǎn)品質(zhì)量與可靠性,以充分保證系統(tǒng)的安全。

(2)一致性原則。主要是電力行業(yè)網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期同時(shí)存在,所制定的安全體系結(jié)構(gòu)也必須與網(wǎng)絡(luò)的安全需求相一致。

(3)易操作性原則。網(wǎng)絡(luò)安全結(jié)構(gòu)的相關(guān)技術(shù)措施需要由人為去完成,如果所采用的技術(shù)措施過(guò)于復(fù)雜,對(duì)人的要求也過(guò)高,這自身就降低了系統(tǒng)的安全性。

(4)分布實(shí)施原則。由于電力網(wǎng)絡(luò)系統(tǒng)隨著規(guī)模的擴(kuò)大和應(yīng)用領(lǐng)域的增加,網(wǎng)絡(luò)受到攻擊的可能性也不斷增加,想一勞永逸的解決電力網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的,而且網(wǎng)絡(luò)安全措施的實(shí)施也需要相當(dāng)?shù)馁M(fèi)用支出。因此,網(wǎng)絡(luò)安全結(jié)構(gòu)的建設(shè)可采用分布實(shí)施的方式,既可滿足當(dāng)前網(wǎng)絡(luò)對(duì)信息安全的需要,也可為今后系統(tǒng)的擴(kuò)展與完善奠定良好的基礎(chǔ)。

3.2網(wǎng)絡(luò)安全結(jié)構(gòu)具體設(shè)計(jì)方案的應(yīng)用

(1)電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)整個(gè)電力行業(yè)計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò),不僅會(huì)受到外部的攻擊,也同時(shí)會(huì)受到內(nèi)部攻擊。內(nèi)部網(wǎng)絡(luò)主要是指用于控制電力設(shè)備以及采集運(yùn)行數(shù)據(jù)的設(shè)備層網(wǎng)絡(luò)系統(tǒng),如SCADA系統(tǒng)DSC系統(tǒng)等,由于這部分網(wǎng)絡(luò)需和電力控制設(shè)備之間直接進(jìn)行數(shù)據(jù)間的交換,任何非法入侵的數(shù)據(jù)都可能引發(fā)電力設(shè)備的故障,并可能導(dǎo)致整個(gè)電網(wǎng)的安全運(yùn)行受到影響。為了有效解決內(nèi)網(wǎng)的安全防護(hù)問(wèn)題,可在電站系統(tǒng)的局域網(wǎng)內(nèi)部,使用防火墻技術(shù)對(duì)不同的網(wǎng)段進(jìn)行隔離,并且采用IPS設(shè)備加強(qiáng)對(duì)關(guān)鍵應(yīng)用部位的監(jiān)控與保護(hù)。如圖1所示,即為電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)。在該設(shè)計(jì)方案中:

①使用防火墻集群將內(nèi)部與外部網(wǎng)絡(luò)隔離,保證電力網(wǎng)絡(luò)外部的攻擊與漏洞掃描等,不會(huì)影響到內(nèi)網(wǎng)數(shù)據(jù)的正常傳輸與交流;

②再將內(nèi)部網(wǎng)絡(luò)的不同區(qū)域進(jìn)行隔離,使之能具備不同級(jí)別的訪問(wèn)權(quán)限,以有效保證內(nèi)網(wǎng)數(shù)據(jù)的安全性;

③對(duì)電站關(guān)鍵部位的安全防護(hù)還可采用IPS裝置,以保證內(nèi)部重要數(shù)據(jù)的可監(jiān)控性、可審計(jì)性以及防止惡意流量的攻擊。

(2)省級(jí)電力骨干網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)省級(jí)電力骨干網(wǎng)絡(luò)的核心中部署有眾多的業(yè)務(wù),如用電營(yíng)銷、工程管理、辦公自動(dòng)化系統(tǒng)、電力生產(chǎn)信息平臺(tái)以及GIS系統(tǒng)等,同時(shí)還包含了與其它企業(yè)及各種服務(wù)系統(tǒng)的系統(tǒng)。正是由于各種業(yè)務(wù)的流量都需由電力骨干網(wǎng)絡(luò)進(jìn)行傳輸和匯集,對(duì)網(wǎng)絡(luò)的安全性與可靠性也有著極高的要求。因此,對(duì)于省級(jí)電力骨干網(wǎng)絡(luò)的安全結(jié)構(gòu)設(shè)計(jì),可部署2~4點(diǎn)的防火墻集群作為網(wǎng)絡(luò)系統(tǒng)的省級(jí)安全核心,并對(duì)系統(tǒng)的多鏈路情況進(jìn)行負(fù)載均衡,以充分滿足省級(jí)電力骨干網(wǎng)絡(luò)對(duì)安全防護(hù)的要求。省級(jí)電力骨干網(wǎng)絡(luò)的安全結(jié)構(gòu)建設(shè),主要包括了兩方面的任務(wù):

①利用防火墻技術(shù)對(duì)外部接口區(qū)域和內(nèi)部服務(wù)器區(qū)域進(jìn)行劃分,并綜合應(yīng)用病毒防治技術(shù)、漏洞掃描技術(shù)等多種安全防護(hù)技術(shù),從而實(shí)現(xiàn)系統(tǒng)在訪問(wèn)控制、漏洞掃描、病毒防護(hù)、入侵檢測(cè)、集中安全管理以及日志記錄等多個(gè)環(huán)節(jié)的安全防護(hù);

②通過(guò)安全結(jié)構(gòu)的建設(shè)以實(shí)現(xiàn)系統(tǒng)多鏈路情況下的負(fù)載均衡,保證系統(tǒng)具有足夠的收發(fā)速度和響應(yīng)速度,并能有效避免網(wǎng)絡(luò)服務(wù)的中斷。

(3)電力廣域網(wǎng)整體網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)對(duì)于整個(gè)電力系統(tǒng)的廣域網(wǎng),為了保證端對(duì)端、局對(duì)局的安全性,并有效保證整個(gè)系統(tǒng)的安全性與可靠性,可對(duì)整個(gè)電力廣域網(wǎng)采用分布式的安全結(jié)構(gòu)設(shè)計(jì)方案。其安全結(jié)構(gòu)的特點(diǎn)是:

①通過(guò)分布式架構(gòu),可以使廣域網(wǎng)的安全結(jié)構(gòu)真正實(shí)現(xiàn)多臺(tái)防火墻的同時(shí)Active技術(shù),有效保證了網(wǎng)絡(luò)的安全性。

②通過(guò)過(guò)濾規(guī)則設(shè)置,可以實(shí)現(xiàn)對(duì)廣域網(wǎng)內(nèi)部資源對(duì)外開放程度的有效控制,尤其是電力公司和Internet公共網(wǎng)絡(luò)之間的連接可僅開放某特殊段的IP端口,從而有效避免了病毒攻擊和非法侵入。

③通過(guò)客戶端認(rèn)證規(guī)則的應(yīng)用,可以確保電力廣域網(wǎng)不同的內(nèi)部用戶享受到不同的訪問(wèn)外部資源的級(jí)別。同時(shí)還對(duì)內(nèi)部用戶嚴(yán)格區(qū)分網(wǎng)段,其自動(dòng)的反地址欺騙有效杜絕了從外網(wǎng)發(fā)起的對(duì)于內(nèi)網(wǎng)的訪問(wèn),而對(duì)于內(nèi)網(wǎng)發(fā)起的對(duì)外網(wǎng)的訪問(wèn)則可以不受到限制。

4總結(jié)

篇2

關(guān)鍵詞:VPN技術(shù);校園網(wǎng)絡(luò);安全體系

中圖分類號(hào):TP393.08

目前,各大院校都在進(jìn)行擴(kuò)招,不同的院校也在逐漸的擴(kuò)大規(guī)模,創(chuàng)建出了校區(qū)與校區(qū)之間協(xié)調(diào)發(fā)展的形式。按照我國(guó)院校的大體布局來(lái)分析,大部分的院校會(huì)擁有多個(gè)校區(qū),并且這些校區(qū)可能會(huì)分布在不同的地區(qū)或者城市,校園的局域網(wǎng)若過(guò)于簡(jiǎn)單,是不能夠達(dá)成協(xié)調(diào)管理的。那么VPN技術(shù)的應(yīng)用成為了主流模式。

1 在校園網(wǎng)絡(luò)安全體系中應(yīng)用VPN技術(shù)的功能模型

1.1 數(shù)據(jù)轉(zhuǎn)發(fā)模塊。此模塊是網(wǎng)絡(luò)當(dāng)中的關(guān)鍵模塊,對(duì)于數(shù)據(jù)的加密是利用協(xié)商好的加密算法,同時(shí)將數(shù)據(jù)傳輸完成。

1.2 身份認(rèn)證模塊??蛻舳苏J(rèn)證服務(wù)端,是通過(guò)數(shù)字證書;服務(wù)端認(rèn)證客戶端,是通過(guò)兩種不同的方式,其一是對(duì)外網(wǎng)的認(rèn)證,使用的是密碼和用戶名的認(rèn)證,其二是內(nèi)網(wǎng)的認(rèn)證,使用的是數(shù)字證書的認(rèn)證模式。

1.3 后臺(tái)管理模塊。此模塊主要負(fù)責(zé)采集日志,是安全審計(jì)前提下的操作日志。并且,可以將使用情況和操作行為充分匯總。

1.4 訪問(wèn)控制模塊。此模塊具體創(chuàng)建了細(xì)致的VPN技術(shù)訪問(wèn)控制對(duì)策,相應(yīng)的決定了訪問(wèn)的規(guī)則。

2 分析VPN技術(shù)的需求

2.1 對(duì)圖書館資源進(jìn)行遠(yuǎn)程訪問(wèn)。校區(qū)之間需創(chuàng)建統(tǒng)一形式的認(rèn)證系統(tǒng)以及圖書館管理系統(tǒng),達(dá)成校區(qū)之間的圖書館資源統(tǒng)一認(rèn)證和聯(lián)動(dòng)管理。

2.2 解決院校中多個(gè)校區(qū)的互相訪問(wèn)問(wèn)題。達(dá)成校區(qū)與校區(qū)之間的財(cái)務(wù)專網(wǎng)以及一卡通整合,構(gòu)成能夠連接校區(qū)與校區(qū)之間的完善網(wǎng)絡(luò)樞紐,確保網(wǎng)絡(luò)數(shù)據(jù)可以通過(guò)VPN技術(shù)進(jìn)行快速、安全的傳輸。

2.3 以遠(yuǎn)程的形式訪問(wèn)校園網(wǎng)絡(luò)熱點(diǎn),達(dá)成校區(qū)與校區(qū)之間的郵件服務(wù)站點(diǎn)以及web站點(diǎn)的整合,實(shí)現(xiàn)校區(qū)之間的信息交流、公文流轉(zhuǎn)以及郵件分發(fā)。

3 在校園網(wǎng)絡(luò)安全體系中應(yīng)用VPN技術(shù)的原則

3.1 訪問(wèn)控制。校園網(wǎng)絡(luò)當(dāng)中會(huì)擁有較多的用戶,不同的用戶擁有著不同的權(quán)限,所以,VPN技術(shù)需要?jiǎng)?chuàng)建安全訪問(wèn)的控制體系。

3.2 確保多平臺(tái)兼容。所謂多平臺(tái)兼容指的就是,VPN服務(wù)作用在校園網(wǎng)絡(luò)中,可以給予用戶實(shí)時(shí)的安全網(wǎng)絡(luò)接入服務(wù)。同時(shí),可以達(dá)成較多操作系統(tǒng)的平臺(tái)環(huán)境兼容。

3.3 安全保障。在校園網(wǎng)絡(luò)安全體系當(dāng)中應(yīng)用VPN技術(shù),最為基本的原則就是能夠合理的保障網(wǎng)絡(luò)安全。將VPN技術(shù)應(yīng)用在校園網(wǎng)絡(luò)中,一般情況下需要擁有數(shù)據(jù)保密、數(shù)據(jù)完整性以及身份認(rèn)證三個(gè)方面的保障體制[1]。

3.4 管理平臺(tái)的有效性。VPN技術(shù)服務(wù)器需要給予一定的服務(wù)器和客戶端配置工具,便于使用操作。還需要提供采集日志的功能,可以安全性審計(jì)日志記錄。

4 校園網(wǎng)絡(luò)安全體系當(dāng)中有效的選擇VPN技術(shù)的應(yīng)用方案

4.1 Extranet VPN。Extranet VPN方案能夠利用專門的共享連接網(wǎng)絡(luò)設(shè)施,在校園網(wǎng)絡(luò)中連接外部網(wǎng),適合用在B2B的安全訪問(wèn)過(guò)程中。

4.2 Access VPN。Access VPN方案的選擇與遠(yuǎn)程或者移動(dòng)辦公的要求相符,對(duì)于校園內(nèi)與校園外的遠(yuǎn)程網(wǎng)絡(luò)連接能夠充分實(shí)現(xiàn)。Access VPN具體適合用在現(xiàn)階段較多的接入方法中,例如:ISDN、移動(dòng)網(wǎng)絡(luò)、PPPoE撥號(hào)、xDSL等,提供給移動(dòng)辦公用戶較為安全的私有連接。

4.3 Intranet VPN。Intranet VPN方案擁有著獨(dú)特的共享網(wǎng)絡(luò)設(shè)施,此共享網(wǎng)絡(luò)設(shè)施是Intranet VPN方案的堅(jiān)實(shí)基礎(chǔ),對(duì)Internet的合理利用能夠?qū)崿F(xiàn),在院校中各個(gè)校區(qū)的網(wǎng)絡(luò)互聯(lián)。Intranet VPN有效的通過(guò)了加密、VPN隧道等技術(shù),確保了在傳輸過(guò)程中,信息的安全性。

根據(jù)這三種應(yīng)用方案的細(xì)致探究,可以體現(xiàn)出不同的方案會(huì)適合應(yīng)用在不同的訪問(wèn)服務(wù)當(dāng)中。按照需求分析能夠體現(xiàn)出,校園網(wǎng)一方面需要將校區(qū)與校區(qū)之間的網(wǎng)絡(luò)互聯(lián)實(shí)現(xiàn),另一方面還需要將遠(yuǎn)程用戶訪問(wèn)校園網(wǎng)絡(luò)資源的指令實(shí)現(xiàn)。所以,需要選取Intranet VPN和Access VPN這兩種方案當(dāng)做校園網(wǎng)絡(luò)安全體制中的具體構(gòu)架方案[2]。

5 校園網(wǎng)絡(luò)安全體系中應(yīng)用VPN技術(shù)的設(shè)計(jì)方案

5.1 Access VPN遠(yuǎn)程形式下的VPN服務(wù)器訪問(wèn)。在用戶對(duì)校園網(wǎng)絡(luò)資源的訪問(wèn)過(guò)程中,并利用遠(yuǎn)程協(xié)助的方式開展時(shí),需要通過(guò)Access VPN技術(shù)將其實(shí)現(xiàn)。VPN技術(shù)會(huì)創(chuàng)設(shè)在校園網(wǎng)絡(luò)的內(nèi)部,對(duì)于創(chuàng)設(shè)基礎(chǔ)環(huán)境的選擇,則需要選取Linux操作平臺(tái),Linux操作平臺(tái)一方面擁有著免費(fèi)、容易擴(kuò)展的特點(diǎn),另一方面還擁有著較高的性能,可以與Windows Server平臺(tái)相提并論[3]。

在校園網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)想要確保其安全性,需要應(yīng)用NAT技術(shù)以及防火墻,因?yàn)樵趥鬏攲又惺荢SL VPN在工作,可以涉及到全部的NAT設(shè)備與防火墻,確保了VPN技術(shù)用戶能夠?qū)崟r(shí)的對(duì)校園網(wǎng)絡(luò)進(jìn)行連接。并且,遠(yuǎn)程的VPN用戶在對(duì)校園網(wǎng)絡(luò)進(jìn)行訪問(wèn)的時(shí)候,要設(shè)置內(nèi)網(wǎng)的IP地址,所以DHCP的架設(shè)是必不可少的,該服務(wù)器能夠?qū)P地址的分配任務(wù)合理達(dá)成。針對(duì)外部網(wǎng)絡(luò)的用戶必須要與VPN服務(wù)器相連,并創(chuàng)建DNS域名服務(wù)器才能夠進(jìn)入到校園網(wǎng)絡(luò)。這種方式的采用,能夠?qū)⑵帘涡@網(wǎng)絡(luò)結(jié)構(gòu)的目的實(shí)現(xiàn),確保了校園網(wǎng)絡(luò)的安全性[4]。

5.2 校區(qū)之間的網(wǎng)絡(luò)互聯(lián)能夠運(yùn)用Intranet VPN來(lái)實(shí)現(xiàn)。首先需要在每一校區(qū)中接入網(wǎng)絡(luò)連接,將網(wǎng)絡(luò)出口定制在一個(gè)校區(qū)中,同時(shí)所有的校區(qū)之間所開展的信息化系統(tǒng)管理,要利用此網(wǎng)絡(luò)連接將信息互通完成,包含:教務(wù)、人事、財(cái)務(wù)、一卡通等管理系統(tǒng)。想要確保傳輸數(shù)據(jù)的安全性,需要通過(guò)IPSec VPN技術(shù),加密應(yīng)用系統(tǒng)中的相關(guān)數(shù)據(jù),保證傳輸數(shù)據(jù)時(shí)的安全性與可靠性。一些用戶對(duì)信息安全方面有著較高的要求,例如:后勤、財(cái)務(wù)部門的用戶,需要通過(guò)二層隔離的方式進(jìn)行校園網(wǎng)的接入,然后需要利用二層OSPF協(xié)議安全的傳輸?shù)胶诵男徒粨Q機(jī),達(dá)成校區(qū)與校區(qū)之間的加密信息傳輸。針對(duì)普通的用戶在訪問(wèn)的過(guò)程中,因?yàn)榫邆漭^低的安全級(jí)別,需要將安全要求降低,以此有效的提高VPN服務(wù)器的性能[5]。

6 總結(jié)

根據(jù)以上的論述,各大院校紛紛應(yīng)用了VPN技術(shù),本文主要設(shè)計(jì)和規(guī)劃了VPN技術(shù)的應(yīng)用方案,為的是將校園網(wǎng)絡(luò)中的安全體系能夠體現(xiàn)出可靠性的特點(diǎn),從而實(shí)現(xiàn)校園內(nèi)部協(xié)調(diào)管理的模式。

參考文獻(xiàn):

[1]邱建新.基于IPSec的VPN技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用研究[J].浙江交通職業(yè)技術(shù)學(xué)院學(xué)報(bào),2013,12(09):124-126.

[2]陳恒法,曾碧卿.虛擬專網(wǎng)(VPN)技術(shù)在校區(qū)網(wǎng)絡(luò)互聯(lián)中的應(yīng)用[J].科技咨詢導(dǎo)報(bào),2013,11(07):126-127.

[3]劉巨濤.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究[J].內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報(bào):社會(huì)科學(xué)版,2013,10(02):168-170.

[4]鄒,劉婷,范志勤.校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)與應(yīng)用分析[J].長(zhǎng)沙民政職業(yè)技術(shù)學(xué)院學(xué)報(bào),2013,5(04):187-188.

[5]何來(lái)坤.VPN技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用[J].杭州師范學(xué)院學(xué)報(bào):自然科學(xué)版,2013,14(06):156-159.

篇3

先進(jìn)視訊: 城市視頻監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)

優(yōu) 點(diǎn)

該方案對(duì)城市視頻監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)平臺(tái)、信息存儲(chǔ)和信息管理闡述得較為詳細(xì)。

方案利用當(dāng)?shù)仉娦胚\(yùn)營(yíng)商完善的網(wǎng)絡(luò)覆蓋,采用先進(jìn)的VPN網(wǎng)絡(luò)技術(shù)構(gòu)建了虛擬專網(wǎng)的數(shù)字化城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng),具有擴(kuò)展靈活、維護(hù)方便、分布式多中心的特點(diǎn)。

另外,該方案采用IP-SAN網(wǎng)絡(luò)存儲(chǔ)技術(shù),可以實(shí)現(xiàn)分布式海量網(wǎng)絡(luò)存儲(chǔ); 而其信息管理方面分成了信息分級(jí)管理、信息傳輸方式、接入安全管理、數(shù)據(jù)共享功能、數(shù)據(jù)分析方法和數(shù)據(jù)搜索方法等多個(gè)方面,是監(jiān)控報(bào)警網(wǎng)絡(luò)管理軟件功能的延伸。

不 足

該方案無(wú)論從工程設(shè)計(jì)還是從應(yīng)用角度來(lái)看,仍然需要完善和改進(jìn)。

從工程設(shè)計(jì)角度來(lái)說(shuō),該方案給出了專用網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和實(shí)現(xiàn)技術(shù),需要對(duì)網(wǎng)絡(luò)流量的需求和設(shè)計(jì)給出計(jì)算方法; 方案在接入方式和終端控制、顯示系統(tǒng)等部分的設(shè)計(jì)內(nèi)容需要給出更為具體的信息,對(duì)設(shè)備選型和工程性價(jià)比等內(nèi)容需要加強(qiáng)。

從應(yīng)用設(shè)計(jì)角度看,該方案應(yīng)對(duì)三級(jí)公安管理中心的應(yīng)用需求和管理方式方面應(yīng)有更詳細(xì)的描述,對(duì)采用VPN技術(shù)的網(wǎng)絡(luò)安全和采用運(yùn)營(yíng)商管理數(shù)據(jù)安全等方面也應(yīng)有更詳細(xì)的描述,特別是VPN專網(wǎng)與公網(wǎng)、VPN與公安專網(wǎng)的關(guān)系需要加強(qiáng),否則無(wú)法給出安全性的判斷。

華為3Com:H3C iVS IP智能監(jiān)控系統(tǒng)

優(yōu) 點(diǎn)

該方案對(duì)現(xiàn)有的應(yīng)用分析比較深入,同時(shí)在設(shè)計(jì)上比較獨(dú)特,整個(gè)方案都是基于IP網(wǎng),充分利用了IP網(wǎng)的優(yōu)勢(shì),并把這些優(yōu)勢(shì)充分應(yīng)用到監(jiān)控系統(tǒng)中。同時(shí)引入了IP組播的概念,有一定的前瞻性,符合視頻監(jiān)控應(yīng)用的特點(diǎn),在一些情況下能提高QoS(服務(wù)質(zhì)量)。該設(shè)計(jì)方案應(yīng)用了最新的網(wǎng)絡(luò)傳輸與存儲(chǔ)技術(shù),特別適合于建設(shè)大型、超大型視頻監(jiān)控主干網(wǎng)絡(luò)。與傳統(tǒng)的模擬視頻架構(gòu)不同,與用DVR(Digital Video Recorder)框架模式(模擬和數(shù)字結(jié)合)也不同,該方案的體系架構(gòu)比較先進(jìn),設(shè)計(jì)獨(dú)到。

方案的編碼方式支持MPEG2/MPEG4/H.264編碼格式,編碼帶寬最高可達(dá)8Mpbs(編碼壓縮為高帶寬4Mpbs以上),可提供FULL D1高清晰圖紙分辨率,這一點(diǎn)有其獨(dú)到之處。

設(shè)計(jì)上采用了IP網(wǎng)中的分布式概念來(lái)實(shí)現(xiàn)IP監(jiān)控的控制和管理,利用VM(Video Manager)和DM(Data Manager)來(lái)實(shí)現(xiàn)對(duì)各種終端的統(tǒng)一管理和調(diào)度,而視頻流則可以不經(jīng)過(guò)VM單獨(dú)傳輸。把VM作為整個(gè)系統(tǒng)的控制和管理核心,所有監(jiān)控的控制流都由VM處理,這樣能在一定程度上提高圖像信息的安全性。

系統(tǒng)設(shè)計(jì)上采用了IP-SAN這項(xiàng)新技術(shù),結(jié)合iSCSI技術(shù)實(shí)現(xiàn)對(duì)視頻數(shù)據(jù)流的存儲(chǔ)。能向PC客戶端提供實(shí)際的VOD點(diǎn)播視頻流、數(shù)據(jù)流和視頻數(shù)據(jù)下載等服務(wù),滿足現(xiàn)實(shí)應(yīng)用的要求,且具有一定的先進(jìn)性。

IP-SAN存儲(chǔ)可以達(dá)到大容量的海量存儲(chǔ),也能達(dá)到集中管理,縮短緊急情況下的圖像回放響應(yīng)時(shí)間。傳輸采用IP網(wǎng)絡(luò)同時(shí)完成視頻流的傳送及交換功能,代替了傳統(tǒng)的光端機(jī)傳輸,并可在同一根光纖上傳送各種視頻圖像。

不 足

從目前系統(tǒng)的設(shè)計(jì)方案來(lái)看,要建設(shè)中小型監(jiān)控系統(tǒng),資金投入可能會(huì)有問(wèn)題。而且在網(wǎng)絡(luò)條件不太理想的應(yīng)用環(huán)境中,方案對(duì)于一些低碼流的前端應(yīng)用適應(yīng)性方面未作詳細(xì)描述,方案中的傳輸設(shè)備需要用本公司產(chǎn)品才能實(shí)現(xiàn)。安全方面也只是提到采取簡(jiǎn)單的注冊(cè),沒(méi)有涉及具體的安全策略和方法。

對(duì)于如何實(shí)現(xiàn)QoS方面的設(shè)計(jì)方案,提及相對(duì)簡(jiǎn)單。在實(shí)施中還需對(duì)該方案進(jìn)一步進(jìn)行細(xì)化設(shè)計(jì),詳細(xì)闡述相關(guān)內(nèi)容。

就拿北京來(lái)說(shuō),其架構(gòu)(管理模式是DB/Z384)由住宅小區(qū)或社會(huì)重要單位建立平臺(tái)連到各街道和派出所,逐級(jí)上傳到區(qū)政府和公安分局,再上傳到市政府和市公安局。各級(jí)都有管理職能要求,所以基本模式應(yīng)符合分級(jí)、分層、分權(quán)的實(shí)用要求。

而將所有信息(包括視頻,語(yǔ)音及報(bào)警)都傳送到IP-SAN一級(jí)海量存儲(chǔ),像北京這樣大的城市必然會(huì)需要巨大容量的存儲(chǔ)空間,其安全性令人擔(dān)憂。而且其設(shè)備投資太大,從當(dāng)前使用角度來(lái)看很難達(dá)到。

該方案與目前各級(jí)已建立起來(lái)的視頻系統(tǒng)是否兼容,并且其可靠性、安全性等多方面還尚待檢驗(yàn)。

中盛益華: CSVision城市治安視頻監(jiān)控系統(tǒng)

優(yōu) 點(diǎn)

該方案對(duì)現(xiàn)有視頻監(jiān)控的應(yīng)用需求的分析比較全面,在設(shè)計(jì)上采用了分級(jí)管理。用戶可根據(jù)實(shí)際需要,在各服務(wù)器間構(gòu)建多叉樹的拓?fù)浣Y(jié)構(gòu),實(shí)現(xiàn)了分級(jí)和分層管理。

該方案在設(shè)計(jì)上所采用的分布式存儲(chǔ)能較好地解決網(wǎng)絡(luò)帶寬和存儲(chǔ)問(wèn)題,分擔(dān)系統(tǒng)的壓力。該方案充分利用現(xiàn)有的網(wǎng)絡(luò),可接受多種接入方式,使建設(shè)成本降低。系統(tǒng)所應(yīng)用的生命周期管理、設(shè)備心跳管理、實(shí)時(shí)監(jiān)控、管理編解碼設(shè)備以及系統(tǒng)具備的自愈自恢復(fù)功能等對(duì)于一個(gè)成熟的大型視頻監(jiān)控系統(tǒng)來(lái)講是很重要的。

網(wǎng)絡(luò)視頻服務(wù)器可以支持不同的網(wǎng)絡(luò)接入和多級(jí)聯(lián)網(wǎng),該系統(tǒng)設(shè)計(jì)方案適合于中、大型視頻監(jiān)控系統(tǒng)建設(shè)。是較為廣泛的采用方式,比較符合現(xiàn)實(shí)應(yīng)用需求。

不 足

該方案在設(shè)計(jì)上也還存在一些缺陷,如對(duì)在不同級(jí)別、不同層次間的信息共享以及系統(tǒng)的安全性考慮比較少,信息的采集、傳輸及所采取的C/S訪問(wèn)方式等都存在著潛在的安全隱患。

系統(tǒng)雖然支持多種接入方式,但對(duì)編解碼的標(biāo)準(zhǔn)沒(méi)有做出明確的方案,是否適合這些接入方式?怎樣保證圖像的質(zhì)量?以及需要什么樣的網(wǎng)絡(luò)帶寬等問(wèn)題在方案中沒(méi)有描述清楚。

天地偉業(yè): 城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)

優(yōu) 點(diǎn)

該方案從需求分析、方案設(shè)計(jì)、運(yùn)營(yíng)/管理,主要產(chǎn)品介紹等方面作了敘述,內(nèi)容清晰、構(gòu)思清楚。該方案在需求分析、社會(huì)資源的接入方式、存儲(chǔ)方法等方面有較好的參考價(jià)值。

方案從城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)建設(shè)的應(yīng)用需求分析入手,總結(jié)出系統(tǒng)建設(shè)功能需求,對(duì)公安系統(tǒng)自建信息資源和現(xiàn)有社會(huì)信息資源接入系統(tǒng)的方式進(jìn)行了較為詳細(xì)的敘述。對(duì)公安局監(jiān)控中心建設(shè)給出了規(guī)劃方案和實(shí)現(xiàn)功能,針對(duì)網(wǎng)絡(luò)傳輸?shù)奶攸c(diǎn),采用了兩級(jí)信息存儲(chǔ)方案,給出了該方案核心設(shè)備的選型和設(shè)備參數(shù)指標(biāo)。

結(jié)合實(shí)際的應(yīng)用要求,能和現(xiàn)有監(jiān)控資源兼容,采用標(biāo)準(zhǔn)接口; 可以依據(jù)不同需求,選擇不同類型的監(jiān)控設(shè)備,方案靈活; 擴(kuò)容簡(jiǎn)單,可以逐步完善; 技術(shù)相對(duì)成熟,實(shí)施容易,既能保證傳統(tǒng)的模擬系統(tǒng)質(zhì)量,又可采用先進(jìn)的數(shù)字技術(shù); 城市監(jiān)控聯(lián)網(wǎng)系統(tǒng)結(jié)合了分級(jí)、分層、分權(quán)的管理機(jī)制。

不 足

方案對(duì)前端的接入方式?jīng)]有描述,應(yīng)給出詳細(xì)的前端接入方式說(shuō)明。

方案的基層控制中心建設(shè)過(guò)于簡(jiǎn)單,應(yīng)推薦給出模擬、數(shù)字和模數(shù)結(jié)合三種不同的實(shí)現(xiàn)結(jié)構(gòu)框圖,并詳述各自不同的優(yōu)缺點(diǎn),供具體實(shí)現(xiàn)者參考。

在功能需求方面雖然提出了安全性要求,但在方案設(shè)計(jì)中沒(méi)有體現(xiàn)出安全性的保障措施; 特別是方案提到了能利用電信運(yùn)營(yíng)商的通信網(wǎng)絡(luò)解決城市監(jiān)控網(wǎng)絡(luò)的覆蓋面問(wèn)題,但如何解決通信網(wǎng)絡(luò)與公安專網(wǎng)的銜接方面沒(méi)有給出具體方法,安全性很難判斷。

在如何確保圖像的傳輸質(zhì)量(特別是數(shù)字傳輸)方面,缺乏技術(shù)措施。在產(chǎn)品介紹上應(yīng)更多說(shuō)明其接口對(duì)不同系統(tǒng)設(shè)備的兼容,因?yàn)楦鞯仄桨渤鞘斜O(jiān)控系統(tǒng)不可能都用該方案產(chǎn)品。在監(jiān)控系統(tǒng)使用的控制權(quán)限上如何達(dá)到相互調(diào)用,從技術(shù)方案上要有措施。

松下電器: 銀行網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)

優(yōu) 點(diǎn)

該方案是銀行建設(shè)的全數(shù)字化網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)方案,采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),并采用了網(wǎng)絡(luò)供電方式,提高了系統(tǒng)的靈活性和可擴(kuò)展性,降低了施工及布線成本; 前端攝像機(jī)采用網(wǎng)絡(luò)監(jiān)控?cái)z像機(jī),通過(guò)網(wǎng)絡(luò)交換機(jī)將圖像及數(shù)據(jù)接入監(jiān)控中心,由中心內(nèi)配置的網(wǎng)絡(luò)硬盤錄像機(jī)對(duì)前端圖像進(jìn)行記錄。該方案根據(jù)不同監(jiān)控點(diǎn)的實(shí)際應(yīng)用需求,采用了不同分辨率的網(wǎng)絡(luò)攝像機(jī)――百萬(wàn)像素網(wǎng)絡(luò)彩色攝像機(jī),拍攝的圖像清晰、鮮明。每臺(tái)網(wǎng)絡(luò)攝像機(jī)配置1GB的SD卡以備網(wǎng)絡(luò)故障時(shí)圖像記錄,提高了圖像記錄的可靠性; 該方案的最大特點(diǎn)是采用雙編碼格式,形成M-JPEG 和MPEG-4兩種視頻媒體流,MPEG-4利于實(shí)時(shí)動(dòng)態(tài)觀看,M-JPEG利于高清晰圖像的記錄。

該實(shí)時(shí)監(jiān)控錄像系統(tǒng)的使用可減少銀行柜員制業(yè)務(wù)中出現(xiàn)的錯(cuò)誤和糾紛,切實(shí)保障銀行和儲(chǔ)戶的權(quán)益,有效防范金融詐騙等犯罪活動(dòng)。

不 足

該方案給出的系統(tǒng)結(jié)構(gòu)框圖僅僅是一個(gè)營(yíng)業(yè)部門的監(jiān)控系統(tǒng)圖,沒(méi)有給出銀行的各營(yíng)業(yè)部門的監(jiān)控系統(tǒng)是否聯(lián)網(wǎng),以及如何聯(lián)網(wǎng)等相關(guān)問(wèn)題的解決方案。

對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)介紹較為簡(jiǎn)單,沒(méi)有給出網(wǎng)絡(luò)流量的需求和保障措施,對(duì)網(wǎng)絡(luò)安全沒(méi)有論述; 該方案僅在系統(tǒng)框圖中畫出了城市安防中心,但沒(méi)有給出監(jiān)控系統(tǒng)與城市安防中心的接口和傳輸方式的說(shuō)明,同時(shí)監(jiān)控中心沒(méi)有建設(shè)多屏顯示,不利于值守人員工作; 作為一個(gè)銀行監(jiān)控系統(tǒng),方案中對(duì)報(bào)警系統(tǒng)沒(méi)有描述,對(duì)報(bào)警系統(tǒng)與監(jiān)控系統(tǒng)聯(lián)動(dòng)的敘述過(guò)于簡(jiǎn)單。

藍(lán)色星際: ATM視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)

優(yōu) 點(diǎn)

該方案專門針對(duì)金融行業(yè)中通過(guò)聯(lián)網(wǎng)的方式實(shí)現(xiàn)對(duì)所有ATM網(wǎng)點(diǎn)的集中統(tǒng)一監(jiān)控和管理,核心設(shè)備均采用嵌入式操作系統(tǒng),具有任務(wù)單一、響應(yīng)實(shí)時(shí)的特點(diǎn),避免了Windows等PC操作系統(tǒng)啟動(dòng)緩慢、安裝配置復(fù)雜、不易維護(hù)、不能長(zhǎng)時(shí)間穩(wěn)定工作的弊病。嵌入式操作系統(tǒng)完全避免了病毒及其他非法手段的入侵,大大地提高了系統(tǒng)的安全性。

方案采用模塊化結(jié)構(gòu)設(shè)計(jì),可以提供靈活的系統(tǒng)組合,用戶可以根據(jù)需要靈活配置硬件數(shù)量。在盡量不改動(dòng)原有現(xiàn)場(chǎng)監(jiān)控系統(tǒng)的條件下,可將該系統(tǒng)作為一個(gè)功能模塊嵌入在原有系統(tǒng)之中,保證新的系統(tǒng)不影響原有系統(tǒng)的穩(wěn)定性并有效保護(hù)用戶以前的投資。

方案將ATM作為網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的網(wǎng)點(diǎn),并從設(shè)計(jì)原則、設(shè)計(jì)依據(jù)和應(yīng)用技術(shù)特點(diǎn)、產(chǎn)品主要功能等方面做了詳細(xì)說(shuō)明。

不 足

篇4

校園網(wǎng)作為因特網(wǎng)的重要組成部分,為教學(xué)提供了極大的方便。由于管理和使用等因素,校園網(wǎng)面臨著嚴(yán)重的安全威脅。其中主要體現(xiàn)為水災(zāi)、雷擊或者操作人員的操作不當(dāng)而導(dǎo)致的硬件或者網(wǎng)絡(luò)系損壞,另外黑客攻擊是校園網(wǎng)系統(tǒng)的主要安全影響因素。近年來(lái),隨著網(wǎng)絡(luò)技術(shù)的發(fā)達(dá),木馬安裝程序也越來(lái)越精密,不但影響公共網(wǎng)絡(luò),也給校園網(wǎng)的安全帶來(lái)極大的沖擊。學(xué)生作為主要操作者,缺乏專業(yè)的技術(shù),因此容易出現(xiàn)操作失誤現(xiàn)象。另外,學(xué)生的好奇心會(huì)導(dǎo)致系IP被修改,或者進(jìn)入不安全網(wǎng)頁(yè),導(dǎo)致計(jì)算機(jī)系統(tǒng)被病毒侵害。另外,校園網(wǎng)系統(tǒng)還面臨著系統(tǒng)應(yīng)用問(wèn)題和管理風(fēng)險(xiǎn)。系統(tǒng)應(yīng)用問(wèn)題主要體現(xiàn)為操作系統(tǒng)安全隱患和數(shù)據(jù)庫(kù)安全隱患。由于系統(tǒng)自身設(shè)計(jì)不完善,將導(dǎo)致操作系統(tǒng)存在致命的安全隱患,這需要檢修人員和技術(shù)人員及時(shí)發(fā)現(xiàn)并對(duì)其進(jìn)行處理,以免出現(xiàn)重大安全事故。計(jì)算機(jī)服務(wù)器終端安全風(fēng)險(xiǎn)將導(dǎo)致整個(gè)系統(tǒng)的安全系統(tǒng)下降,出現(xiàn)安全漏洞,影響計(jì)算機(jī)的使用壽命。從這一點(diǎn)上,確保操作系統(tǒng)的信息安全是管理者的重要任務(wù)。但在校園網(wǎng)管理上,由于受到高校制度和對(duì)網(wǎng)絡(luò)教學(xué)或者計(jì)算機(jī)實(shí)踐教學(xué)重視程度不夠的影響,管理安全隱患十分明顯。目前,校園網(wǎng)安全管理依然是人在管理,管理效率低下的主要原因在于管理人員的綜合素質(zhì)不高,管理制度不明確。要解決這一問(wèn)題,就需要對(duì)校園網(wǎng)管理制度進(jìn)行調(diào)整。

2校園網(wǎng)絡(luò)安全防范設(shè)計(jì)方案

為了提高校園網(wǎng)的安全系數(shù),應(yīng)建立可靠的拓?fù)浣Y(jié)構(gòu),其中包括備份鏈路、必要的網(wǎng)絡(luò)防火墻以及VPN的構(gòu)建。具體過(guò)程如下:

2.1利用備份鏈路優(yōu)化校園網(wǎng)的容錯(cuò)能力

備份鏈路的使用可有效提高網(wǎng)絡(luò)的容錯(cuò)能力,降低安全風(fēng)險(xiǎn)。主要應(yīng)用于路由器同系統(tǒng)核心交換機(jī)之間,其作用在于對(duì)學(xué)生連接的外網(wǎng)進(jìn)行檢驗(yàn)和排查,控制非法連接,從而提高被訪問(wèn)網(wǎng)頁(yè)的安全系數(shù)。在核心交換機(jī)之間同樣可進(jìn)行雙鏈路連接和端口聚合技術(shù),從而確保鏈路之間的備份,提高交換帶寬。

2.2計(jì)算機(jī)防火墻的合理應(yīng)用

計(jì)算機(jī)防火墻在校園網(wǎng)安全中起著決定性的作用。通過(guò)防火墻的建立,可攔截存在安全隱患的網(wǎng)頁(yè)。操作人員可在防火墻上預(yù)設(shè)適當(dāng)?shù)陌踩?guī)則ACL,對(duì)通過(guò)防火墻的數(shù)據(jù)信息進(jìn)行檢測(cè),處理存在安全隱患的信息,禁止其通過(guò),這一原理使得防火墻具有安裝方便,效率高等特點(diǎn)。在計(jì)算機(jī)系統(tǒng)中,防火墻實(shí)際上是外網(wǎng)與內(nèi)網(wǎng)之間連接的唯一出口,實(shí)現(xiàn)了二者之間的隔離,是一種典型的拓?fù)浣Y(jié)構(gòu)。根據(jù)校園網(wǎng)自身特點(diǎn),可對(duì)這一拓?fù)溥M(jìn)行調(diào)整,將防火墻放置于核心交換機(jī)與服務(wù)器群中間。其主要原因?yàn)椋悍乐箖?nèi)部操作人員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊;降低了黑客對(duì)網(wǎng)絡(luò)的影響,同時(shí)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部保護(hù)和外部保護(hù),使流經(jīng)防火墻的流量降低,實(shí)現(xiàn)其高效性。但是隨著科技的發(fā)達(dá),網(wǎng)絡(luò)木馬的類型逐漸增多,這要求防火墻技術(shù)也要不斷的更新,以發(fā)揮其積極作用。將計(jì)算機(jī)防火墻同木馬入侵檢測(cè)緊密結(jié)合在一起,一旦入侵檢測(cè)系統(tǒng)捕捉到某一惡性攻擊,系統(tǒng)就會(huì)自動(dòng)進(jìn)行檢測(cè)。而這一惡性攻擊設(shè)置防火墻阻斷,則入侵檢測(cè)系統(tǒng)就會(huì)發(fā)給防火墻對(duì)應(yīng)的動(dòng)態(tài)阻斷方案。這樣能夠確保防火墻完全按照檢測(cè)系統(tǒng)所提供的動(dòng)態(tài)策略來(lái)進(jìn)行系統(tǒng)維護(hù)。

2.3VPN的構(gòu)建

VPN主要針對(duì)校園網(wǎng)絡(luò)的外用,尤其是針對(duì)出差人員,要盡量控制其使用校內(nèi)網(wǎng)絡(luò)資源。如必須使用,則要構(gòu)建VPN系統(tǒng),即在構(gòu)建動(dòng)態(tài)的外部網(wǎng)絡(luò)通往校園網(wǎng)的虛擬專用通道,也可建立多個(gè)校園網(wǎng)絡(luò)區(qū)域之間的VPN系統(tǒng)連接,提高安全防護(hù)效率。

2.4網(wǎng)絡(luò)層其他安全技術(shù)

網(wǎng)絡(luò)層其他安全技術(shù)主要體現(xiàn)為:防網(wǎng)絡(luò)病毒和防網(wǎng)絡(luò)攻擊?,F(xiàn)在網(wǎng)絡(luò)病毒對(duì)網(wǎng)絡(luò)的沖擊影響已經(jīng)越來(lái)越大,如:非常猖狂的紅色代碼、沖擊波等網(wǎng)絡(luò)病毒,所以有必要對(duì)網(wǎng)絡(luò)病毒繼續(xù)有效的控制;而網(wǎng)絡(luò)中針對(duì)交換機(jī)的攻擊和必須經(jīng)過(guò)交換機(jī)的攻擊有如下幾種:MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網(wǎng)絡(luò)設(shè)備管理安全。

3校園網(wǎng)的安全管理方案

計(jì)算機(jī)管理也是校園網(wǎng)安全的主要控制方案。在促進(jìn)管理效率提高的過(guò)程中,主要可以采取VLAN技術(shù)、網(wǎng)絡(luò)存儲(chǔ)技術(shù)和交換機(jī)端口安全性能提高等方案,具體表現(xiàn)為以下幾個(gè)方面:

3.1應(yīng)用VLAN技術(shù)提升網(wǎng)絡(luò)安全性能

VLAN技術(shù)是校園網(wǎng)安全管理中應(yīng)用的主要技術(shù),這一技術(shù)的應(yīng)用有效的提高了計(jì)算機(jī)安全管理效率,優(yōu)化了設(shè)備的性能。同時(shí)對(duì)系統(tǒng)的帶寬和靈活性都具有促進(jìn)作用。VLAN可以獨(dú)立設(shè)計(jì),也可以聯(lián)動(dòng)設(shè)計(jì),具有靈活性,并且這一技術(shù)操作方便有利于資源的優(yōu)化管理,只要設(shè)置必要的訪問(wèn)權(quán)限,便可實(shí)現(xiàn)其功能。

3.2利用網(wǎng)絡(luò)存儲(chǔ)技術(shù),確保網(wǎng)絡(luò)數(shù)據(jù)信息安全

校園網(wǎng)絡(luò)數(shù)據(jù)信息安全一直是網(wǎng)絡(luò)安全管理中的主要任務(wù)之一。除了技術(shù)層面的防火墻,還要求采用合理的存儲(chǔ)技術(shù),確保數(shù)據(jù)安全。這樣,不但可以防止數(shù)據(jù)篡改,還要防止數(shù)據(jù)丟失。目前,主要的存儲(chǔ)技術(shù)包括DAS、RAID和NAS等。

3.3配置交換機(jī)端口控制非法網(wǎng)絡(luò)接入

交換機(jī)端口安全可從限制接入端口的最大連接數(shù)、IP地址與接入的MAC地址來(lái)實(shí)現(xiàn)安全配置。對(duì)學(xué)生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現(xiàn)不合理操作,將會(huì)觸發(fā)和該設(shè)備連接的交換機(jī)端口產(chǎn)生一個(gè)違例并對(duì)其實(shí)施強(qiáng)制關(guān)閉。設(shè)置管理員權(quán)限,降低不合理操作。配置交換機(jī)端口可實(shí)現(xiàn)將非法接入的設(shè)備擋在最低層。

4總結(jié)

篇5

關(guān)鍵詞:企業(yè)發(fā)展;計(jì)算機(jī)局域網(wǎng);設(shè)計(jì)方案

Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.

Keywords: enterprise development; computer network; design

中圖分類號(hào):TP393.1 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2104(2013)

局域網(wǎng)是在一個(gè)局部的地理范圍內(nèi)比如:一個(gè)學(xué)校、工廠和機(jī)關(guān)內(nèi)),一般是方圓幾千米以內(nèi),將各種計(jì)算機(jī),外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)。它可以通過(guò)數(shù)據(jù)通信網(wǎng)或?qū)S脭?shù)據(jù)電路,與遠(yuǎn)方的局域網(wǎng)、數(shù)據(jù)庫(kù)或處理中心相連接,構(gòu)成一個(gè)較大范圍的信息處理系統(tǒng)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、掃描儀共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。計(jì)算機(jī)局域網(wǎng)嚴(yán)格意義上是封閉型的,它可以由辦公室內(nèi)幾臺(tái)甚至上千上萬(wàn)臺(tái)計(jì)算機(jī)組成。決定計(jì)算機(jī)局域網(wǎng)的主要技術(shù)要素為:網(wǎng)絡(luò)拓?fù)洌瑐鬏斀橘|(zhì)與介質(zhì)訪問(wèn)控制方法。局域網(wǎng)的名字本身就隱含了這種網(wǎng)絡(luò)地理范圍的局域性。由于較小的地理范圍的局限性,企業(yè)計(jì)算機(jī)的局域網(wǎng)通常要比廣域網(wǎng)具有高的多的傳輸速率,例如,計(jì)算機(jī)局域網(wǎng)的傳輸速率為10Mb/s,F(xiàn)DDI的傳輸速率為100Mb/s,而廣域網(wǎng)的主干線速率國(guó)內(nèi)僅為64kbps或2.048Mbps,最終用戶的上線速率通常為14.4kbps。計(jì)算機(jī)局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)常用的是總線型和環(huán)行,這是由于有限地理范圍決定的,這兩種結(jié)構(gòu)很少在廣域網(wǎng)環(huán)境下使用。另外企業(yè)運(yùn)用計(jì)算機(jī)局域網(wǎng)還有諸如高可靠性、易擴(kuò)縮和易于管理及安全等多種特性。

一、我國(guó)企業(yè)計(jì)算機(jī)局域網(wǎng)設(shè)計(jì)方案

為了提高企業(yè)的工作效率,從而進(jìn)一步提高企業(yè)的經(jīng)濟(jì)效益,很多企業(yè)都購(gòu)置了可供需要的大量計(jì)算機(jī)。隨著經(jīng)濟(jì)的不斷發(fā)展,社會(huì)生產(chǎn)力不斷地提高,我國(guó)計(jì)算機(jī)技術(shù)水平不斷地提升,企業(yè)的計(jì)算機(jī)也不在是以前孤立的個(gè)體,慢慢的經(jīng)過(guò)科學(xué)技術(shù)革新、研究形成了企業(yè)根據(jù)自身情況所建立的“企業(yè)計(jì)算機(jī)局域網(wǎng)”。使企業(yè)內(nèi)部形成的資源高度的共享、企業(yè)各部門有機(jī)協(xié)調(diào)的計(jì)算機(jī)網(wǎng)絡(luò),既方便了企業(yè)員工之間的工作,也同時(shí)方便了企業(yè)管理層對(duì)員工的監(jiān)督。就目前,我國(guó)各企業(yè)大都建立了自己的計(jì)算機(jī)網(wǎng)絡(luò),網(wǎng)絡(luò)應(yīng)用也逐漸頗具規(guī)模,特別在數(shù)值計(jì)算、信息管理、辦公事務(wù)、工程(產(chǎn)品)設(shè)計(jì)、加工制造等方面基本實(shí)現(xiàn)了計(jì)算機(jī)應(yīng)用,計(jì)算機(jī)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)正在成為企業(yè)日常運(yùn)行的基石。那么我國(guó)企業(yè)計(jì)算機(jī)局域網(wǎng)主要有以下幾種設(shè)計(jì)方案和遵循標(biāo)準(zhǔn):

1、企業(yè)內(nèi)部計(jì)算機(jī)局域網(wǎng)建設(shè)

企業(yè)內(nèi)部計(jì)算機(jī)局域網(wǎng):是企業(yè)內(nèi)部日常運(yùn)作的重要保證。通過(guò)企業(yè)內(nèi)部計(jì)算機(jī)局域網(wǎng)建設(shè)可實(shí)現(xiàn)企業(yè)內(nèi)部辦公自動(dòng)化,財(cái)務(wù)電算化,數(shù)據(jù)共享,上網(wǎng)鏈路共享,打印共享,內(nèi)部電子郵件傳輸?shù)纫幌盗泄δ?。但設(shè)計(jì)這樣的企業(yè)內(nèi)部局域網(wǎng)需要遵循以下幾點(diǎn)原則:

(1)根據(jù)企業(yè)具體實(shí)際情況,設(shè)計(jì)網(wǎng)絡(luò)模型

根據(jù)企業(yè)的具體實(shí)際情況,建議整個(gè)網(wǎng)絡(luò)系統(tǒng)采用多服務(wù)器的“主干—星型”混合拓?fù)浣Y(jié)構(gòu)。采用光纖和5類雙絞線連接UTP加上百兆交換機(jī),從而實(shí)現(xiàn)真正的百兆連接到桌面。其中服務(wù)器和交換機(jī)放置在專用計(jì)算機(jī)房,并配置網(wǎng)絡(luò)UPS。這種企業(yè)內(nèi)部局域網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)的優(yōu)勢(shì)在于非常靈活,網(wǎng)絡(luò)中任何一臺(tái)機(jī)器出現(xiàn)故障,對(duì)企業(yè)網(wǎng)絡(luò)整體都不會(huì)構(gòu)成很大影響。另外由于財(cái)務(wù)系統(tǒng)具有封閉性,可以在企業(yè)內(nèi)部局域網(wǎng)絡(luò)中建立分支結(jié)構(gòu),既便于財(cái)務(wù)人員從主干獲取信息,也保證企業(yè)內(nèi)部財(cái)務(wù)信息的安全。

(2)工程布線標(biāo)準(zhǔn)

企業(yè)計(jì)算機(jī)局域網(wǎng)絡(luò)系統(tǒng)布線工程標(biāo)準(zhǔn)參照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工業(yè)、國(guó)際商務(wù)建筑布線標(biāo)準(zhǔn)及相應(yīng)國(guó)家電信通信標(biāo)準(zhǔn)。

(3)網(wǎng)絡(luò)的保修:要定期對(duì)企業(yè)內(nèi)部的計(jì)算機(jī)局域網(wǎng)進(jìn)行維修檢查,以防止故障的產(chǎn)生,影響企業(yè)工作的流程安排。

(4)企業(yè)內(nèi)部要建立自己本企業(yè)的網(wǎng)站

企業(yè)計(jì)算機(jī)局域網(wǎng)與傳統(tǒng)的企業(yè)內(nèi)部辦公網(wǎng)絡(luò)的主要區(qū)別在于,在先進(jìn)的網(wǎng)絡(luò)設(shè)備和接入帶寬的保證下,有一套運(yùn)行在企業(yè)內(nèi)部局域網(wǎng)上的,與企業(yè)內(nèi)部局域網(wǎng)網(wǎng)站相關(guān)連又有所區(qū)別的企業(yè)內(nèi)部網(wǎng)站。可供企業(yè)員工分享資料,查看企業(yè)的最新動(dòng)態(tài)。

2、企業(yè)計(jì)算機(jī)局域網(wǎng)上網(wǎng)共享的實(shí)現(xiàn)

通過(guò)企業(yè)計(jì)算機(jī)局域網(wǎng),可使全體員工共享上網(wǎng)資源。根據(jù)人員情況和上網(wǎng)需求量的大小,還可采用以下三種方式對(duì)上網(wǎng)進(jìn)行分類:

(1)ADSL上網(wǎng)

非對(duì)稱數(shù)字用戶環(huán)路,可以在普通的電話銅纜上提供1.5~8mbit/s的下行和10~64kbit/s的上行傳輸,可進(jìn)行視頻會(huì)議和影視節(jié)目傳輸,非常適合中、小企業(yè)。

(2)ISDN上網(wǎng)

目前在國(guó)內(nèi)迅速普及,價(jià)格大幅度下降,有的地方甚至是免初裝費(fèi)用。兩個(gè)信道128kbit/s的速率,快速的連接以及比較可靠的線路,可以滿足中小型企業(yè)瀏覽以及收發(fā)電子郵件的需求。而且還可以通過(guò)ISDN和Internet組建企業(yè)VPN。這種方法的性能價(jià)格比很高,在國(guó)內(nèi)大多數(shù)的城市都有ISDN接入服務(wù)。

(3)DDN專線上網(wǎng)

這種方式適合對(duì)帶寬要求比較高的應(yīng)用,如企業(yè)網(wǎng)站。它的特點(diǎn)也是速率比較高,范圍從64kbit/s~2Mbit/s。但是,由于整個(gè)鏈路被企業(yè)獨(dú)占,所以費(fèi)用很高,其優(yōu)勢(shì)在于速度極快,在滿足內(nèi)部上網(wǎng)需求的同時(shí)可以用于網(wǎng)站。這樣就節(jié)省了網(wǎng)站所須的線路費(fèi)用。

二、企業(yè)計(jì)算機(jī)局域網(wǎng)設(shè)計(jì)的發(fā)展趨勢(shì)

隨著我國(guó)企業(yè)科學(xué)管理水平的提高。企業(yè)管理科技化、信息化越來(lái)越受到企業(yè)的重視。對(duì)于企業(yè)計(jì)算機(jī)局域網(wǎng)設(shè)計(jì)發(fā)展趨勢(shì)應(yīng)越趨于網(wǎng)絡(luò)速度的快速化、網(wǎng)絡(luò)信息的安全化、企業(yè)計(jì)算機(jī)局域網(wǎng)絡(luò)的穩(wěn)定化。其中,企業(yè)局域網(wǎng)的信息安全化逐漸成為企業(yè)設(shè)計(jì)計(jì)算機(jī)局域網(wǎng)的著重點(diǎn)。因?yàn)槠髽I(yè)的計(jì)算機(jī)局域網(wǎng)與國(guó)際互聯(lián)網(wǎng)相聯(lián)接,形成一個(gè)內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺(tái)。這種連接方式使得企業(yè)內(nèi)部的計(jì)算機(jī)局域網(wǎng)在給內(nèi)部用戶帶來(lái)工作便利的同時(shí),也面臨著外部環(huán)境——國(guó)際互聯(lián)網(wǎng)的多重危險(xiǎn)。如病毒,黑客、垃圾郵件、而已侵襲軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊,甚至?xí)斐善髽I(yè)內(nèi)部的經(jīng)濟(jì)損失。那么如何更有效地保護(hù)企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為當(dāng)前企業(yè)設(shè)計(jì)計(jì)算機(jī)局域網(wǎng)必須解決的一個(gè)重要問(wèn)題。

為了更好的解決企業(yè)信息安全的問(wèn)題,確保網(wǎng)絡(luò)信息的安全,企業(yè)應(yīng)建立完善的計(jì)算機(jī)安全保障體系。該體系應(yīng)包括網(wǎng)絡(luò)安全科學(xué)技術(shù)的防護(hù)和企業(yè)網(wǎng)絡(luò)信息安全管理兩方面。對(duì)于網(wǎng)絡(luò)安全技術(shù)的防護(hù)主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要內(nèi)部數(shù)據(jù)信息的安全。而企業(yè)網(wǎng)絡(luò)信息安全管理則側(cè)重于對(duì)內(nèi)部人員操作使用的管理,也要防止內(nèi)部人員的泄漏。并在采用新的科學(xué)技術(shù)建立網(wǎng)絡(luò)安全防御體系的同時(shí),加強(qiáng)企業(yè)信息網(wǎng)絡(luò)的安全管理這兩方面相互補(bǔ)充,缺一不可。這個(gè)安全防御體系其中包括入侵檢測(cè)系統(tǒng)、安全訪問(wèn)控制、漏洞掃描、病毒防護(hù)、防火墻、接入認(rèn)證、電子文檔保護(hù)和網(wǎng)絡(luò)行為監(jiān)控,在這些安全防御體系中入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)和病毒防護(hù)系統(tǒng)比較重要??傊?,對(duì)于企業(yè)計(jì)算機(jī)局域網(wǎng)的設(shè)計(jì)發(fā)展,企業(yè)應(yīng)從多方面考量,從整體著眼,促進(jìn)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

【參考文獻(xiàn)】

1、于玥.《網(wǎng)絡(luò)信息管理及其安全》.[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2010

篇6

作為高校教育信息化的一項(xiàng)重要基礎(chǔ)設(shè)施建設(shè),無(wú)線校園網(wǎng)在我國(guó)的發(fā)展已經(jīng)將近二十年。與有線校園網(wǎng)相比,無(wú)線校園網(wǎng)可以讓人們?cè)谛@里隨時(shí)隨地地訪問(wèn)網(wǎng)絡(luò)資源,不再受到地域的限制。隨著手持無(wú)線終端設(shè)備的普及,無(wú)線網(wǎng)絡(luò)已被人們接受,大有取代有限網(wǎng)絡(luò)的趨勢(shì)。相伴而來(lái)的問(wèn)題是由于采用了無(wú)線傳輸,用戶在使用時(shí)面臨越來(lái)越嚴(yán)重的安全問(wèn)題,因此無(wú)線校園網(wǎng)的發(fā)展急需解決自身安全問(wèn)題。目前,無(wú)線校園網(wǎng)正朝著高速率、大規(guī)模、集中管理的方向快速發(fā)展。伴隨著無(wú)線網(wǎng)絡(luò)架構(gòu)的發(fā)展,無(wú)線網(wǎng)絡(luò)從分散安全管理發(fā)展到集中安全管理,從與有線接入融合式的安全管理發(fā)展到無(wú)線接入專網(wǎng)的安全管理,有必要確定一種安全架構(gòu)體系滿足無(wú)線校園網(wǎng)的安全需求。本文著重討論了應(yīng)如何搭建無(wú)線校園網(wǎng)安全架構(gòu),并提出了相應(yīng)的安全實(shí)施方案。本文重點(diǎn)闡述了目前面臨的無(wú)線網(wǎng)絡(luò)安全問(wèn)題,根據(jù)這些問(wèn)題并結(jié)合中等規(guī)模校園的無(wú)線校園網(wǎng)絡(luò)安全需求,詳細(xì)闡述基于三層架構(gòu)的獨(dú)立成網(wǎng)的無(wú)線校園網(wǎng)的安全部署和安全措施,最后提出了一個(gè)適合中等規(guī)模高校的無(wú)線校園網(wǎng)安全架構(gòu)設(shè)計(jì)方案,供作參考。

【關(guān)鍵詞】無(wú)線校園網(wǎng)絡(luò) WLAN安全

進(jìn)入21世紀(jì),隨著無(wú)線技術(shù)及其應(yīng)用的迅猛發(fā)展,人們的生活也因此而正在發(fā)生巨大的改變。近年來(lái),全球的信息化與網(wǎng)絡(luò)化無(wú)線技術(shù)與應(yīng)用日益走向融合,網(wǎng)絡(luò)時(shí)代正在無(wú)線技術(shù)的強(qiáng)力推動(dòng)下悄然走進(jìn)我們的生活。但與此同時(shí),當(dāng)無(wú)線網(wǎng)絡(luò)技術(shù)滲透到社會(huì)方方面面的時(shí)候,技術(shù)本身的安全性就會(huì)成為了人們關(guān)注的重點(diǎn)。于是,一個(gè)有效的、安全的、強(qiáng)健的無(wú)線網(wǎng)絡(luò)是越來(lái)越多人的期盼。

作為無(wú)線局域網(wǎng)最典型的應(yīng)用場(chǎng)景之一,無(wú)線校園網(wǎng)的建設(shè)越來(lái)越得到人們的關(guān)注。隨著高校規(guī)模的不斷擴(kuò)大,校園無(wú)線用戶的數(shù)量飛速增加,傳統(tǒng)思路下的無(wú)線校園網(wǎng)已滿足不了現(xiàn)實(shí)的需要。當(dāng)前,無(wú)線校園網(wǎng)在接入規(guī)模上要求滿足大規(guī)模的移動(dòng)智能終端接入;在接入速率上要求提供不遜色于有線LAN的傳輸速度;在信號(hào)覆蓋上,更是要求既能彌補(bǔ)有線網(wǎng)絡(luò)覆蓋的不足,還要能同時(shí)覆蓋有線網(wǎng)本身的區(qū)域;在服務(wù)支持上,無(wú)線校園網(wǎng)正在向?qū)崿F(xiàn)全網(wǎng)移動(dòng)漫游的方向發(fā)展。伴隨著無(wú)線校園網(wǎng)的快速發(fā)展,無(wú)線校園網(wǎng)的安全問(wèn)題也日趨凸顯。亟需在無(wú)線網(wǎng)絡(luò)性能高速提升的情況下,改善和增強(qiáng)其網(wǎng)絡(luò)自身的安全性。但安全問(wèn)題是一個(gè)動(dòng)態(tài)的體系問(wèn)題,不是靠哪一項(xiàng)安全技術(shù)的出現(xiàn)就可以徹底地解決,一味地強(qiáng)調(diào)安全會(huì)進(jìn)入安全的誤區(qū)。不存在絕對(duì)安全的網(wǎng)絡(luò),只存在相對(duì)安全的網(wǎng)絡(luò)。于是研究在當(dāng)前的技術(shù)條件下高校無(wú)線校園網(wǎng)的安全架構(gòu)就十分具有現(xiàn)實(shí)意義。

1 校園WLAN的發(fā)展

一般而言,凡是采用無(wú)線傳輸?shù)挠?jì)算機(jī)局域網(wǎng)都可稱為無(wú)線局域網(wǎng)WLAN。目前,市場(chǎng)上采用的WLAN的技術(shù)很多,比較典型的有IEEE802.11系列技術(shù)、藍(lán)牙、紅外技術(shù)等。在這些技術(shù)之中,又以IEEE802.11系列技術(shù)最為突出。它憑著自身優(yōu)異的技術(shù)性能和成熟的標(biāo)準(zhǔn)體系實(shí)際上已成為WLAN技術(shù)的代言人。我國(guó)的無(wú)線校園網(wǎng)起步較晚,直到2002年北京大學(xué)才建成了我國(guó)第一個(gè)校園無(wú)線網(wǎng)絡(luò)。從已走過(guò)的十多個(gè)年頭來(lái)看,我國(guó)校園網(wǎng)絡(luò)建設(shè)發(fā)展經(jīng)歷了從簡(jiǎn)單有線LAN的接入端加上無(wú)線AP(Access Point)、引入AC設(shè)備集中管理AP到建設(shè)獨(dú)立無(wú)線校園網(wǎng)的過(guò)程。由于獨(dú)立的無(wú)線校園網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,既解決了帶寬不足的問(wèn)題,又能輕松實(shí)現(xiàn)全網(wǎng)AP的統(tǒng)一管理,目前己成為新建高校建設(shè)無(wú)線校園網(wǎng)主要方式。

2 校園網(wǎng)絡(luò)安全問(wèn)題及原因

與有線局域網(wǎng)相比,無(wú)線局域網(wǎng)(WLAN)具有易于擴(kuò)展、便捷靈活、經(jīng)濟(jì)實(shí)用等優(yōu)點(diǎn),但是由于WLAN開放的傳輸信道,使其更容易受到這種攻擊。

一般來(lái)說(shuō),攻擊者的攻擊方式有以下幾種:

2.1 竊聽

竊聽是被動(dòng)式的攻擊方法,也是最常見和最容易的。由于WLAN的無(wú)線信號(hào)的特征,理論上只要是無(wú)線電波可以到達(dá)的地方都可以被攻擊者竊聽到。若用戶的重要數(shù)據(jù)無(wú)線傳送過(guò)程未進(jìn)行復(fù)雜的加密措施,則信號(hào)傳輸過(guò)程中被竊聽的概率相當(dāng)之高,用戶將遭受意外損失。另外,由于無(wú)線信號(hào)的區(qū)域覆蓋性,攻擊者無(wú)法被有效定位,因此其身份很難被察覺。隱蔽和隨機(jī)的攻擊,使網(wǎng)絡(luò)的監(jiān)控措施有很大的難度。

2.2 非法登陸

非法登陸是指某個(gè)非法用戶使用非法技術(shù)手段通過(guò)AP連接上了一個(gè)WLAN的行為。一般來(lái)說(shuō)非法登陸導(dǎo)致的后果通常都比較嚴(yán)重,因?yàn)樗旧砭邆淞酥鲃?dòng)攻擊的能力,并可能借此為跳板對(duì)其它網(wǎng)絡(luò)進(jìn)行攻擊。

2.3 攻擊干擾

大部分的攻擊干擾的目的純粹只是為了破壞網(wǎng)絡(luò)使其徹底癱瘓,使網(wǎng)絡(luò)失去自身的作用。但還有一種行為被稱為中間人攻擊。攻擊者把自己偽裝成AP,使得用戶在不知情的情況下就接入了攻擊者偽裝的AP,攻擊者就可以輕松竊取用戶發(fā)送的敏感信息。

2.4 DoS(拒絕服務(wù))攻擊

相比有線局域網(wǎng),無(wú)線局域網(wǎng)面臨著更多的在無(wú)線環(huán)境下特有的DoS攻擊。攻擊者通過(guò)不斷的發(fā)出無(wú)效信息來(lái)干擾無(wú)線網(wǎng)絡(luò)的正常運(yùn)行。最常見的DoS攻擊是通過(guò)向AP發(fā)送大量垃圾信息來(lái)消耗AP的資源,使其無(wú)法提供其他用戶的接入,最終導(dǎo)致網(wǎng)絡(luò)癱瘓。

2.5 重放攻擊

重放攻擊是指攻擊者通過(guò)截獲無(wú)線用戶發(fā)送的認(rèn)證憑據(jù),重復(fù)向認(rèn)證服務(wù)器發(fā)送騙取認(rèn)證服務(wù)器的信任,以達(dá)到侵入網(wǎng)絡(luò)的目的。

除了以上五種主要的安全問(wèn)題外,WLAN還面臨著很多形形的安全威脅,例如針對(duì)破解加密算法的攻擊、地址欺騙攻擊、重路由攻擊等等。

針對(duì)WLAN中存在的這些安全問(wèn)題,我們可以從研究WLAN的通信規(guī)格和相關(guān)的網(wǎng)絡(luò)協(xié)議出發(fā),系統(tǒng)分析WLAN安全問(wèn)題的特點(diǎn),通過(guò)構(gòu)建一個(gè)較完善的WLAN安全架構(gòu)來(lái)確保WLAN的安全。

3 無(wú)線校園網(wǎng)的安全需求

學(xué)校教學(xué)、科研水平的提高和使用人數(shù)的增多要求無(wú)線校園網(wǎng)承載更多的業(yè)務(wù)應(yīng)用,因此對(duì)無(wú)線校園網(wǎng)的安全需求也越來(lái)越高。

常見的無(wú)線校園網(wǎng)的安全需求有八個(gè)方面:(1)高可用性的冗余設(shè)計(jì);

(2)安全的準(zhǔn)入準(zhǔn)出機(jī)制;

(3)支持BYOD接入功能;

(4)完備的訪問(wèn)控制機(jī)制;

(5)安全威脅的監(jiān)視與追蹤;

(6)迅速的安全響應(yīng)機(jī)制;

(7)出口安全控制;

(8)AP的負(fù)載均衡。

要滿足無(wú)線校園網(wǎng)的安全性需求,有必要在建設(shè)之初通盤考慮網(wǎng)絡(luò)架構(gòu)設(shè)計(jì),使其滿足無(wú)線校園網(wǎng)各層次用戶的實(shí)際需求。

4 無(wú)線校園網(wǎng)的安全設(shè)計(jì)

無(wú)線校園網(wǎng)的安全體系架構(gòu)設(shè)計(jì)可分為七個(gè)部分:網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)、安全接入功能的設(shè)計(jì)、統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出的設(shè)計(jì)、出口的安全功能設(shè)計(jì)、SSID和VLAN劃分設(shè)計(jì)、IP地址規(guī)劃設(shè)計(jì)、網(wǎng)絡(luò)管理安全系統(tǒng)的功能設(shè)計(jì)。

4.1 網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計(jì)

一般來(lái)說(shuō),校園無(wú)線網(wǎng)絡(luò)在設(shè)計(jì)采用了“瘦”AP+AC的單核心三層架構(gòu)方案。在核心交換機(jī)上設(shè)計(jì)部署超大規(guī)模的智能AC設(shè)備對(duì)全網(wǎng)所有AP進(jìn)行集中式管理。為了確保無(wú)線網(wǎng)絡(luò)的高可用性,防止AC出現(xiàn)問(wèn)題導(dǎo)致網(wǎng)絡(luò)癱瘓,通常采用雙AC冗余方式來(lái)保證網(wǎng)絡(luò)結(jié)構(gòu)的安全。雙AC冗余設(shè)計(jì)采用AC的1+1快速熱備份。采用兩臺(tái)AC設(shè)備分別與核心交換機(jī)連接互聯(lián),分別設(shè)置為一主一備兩個(gè)控制器。網(wǎng)絡(luò)里所有AP同時(shí)與兩臺(tái)AC建立CAPWAP隧道。

4.2 安全接入功能設(shè)計(jì)

安全接入功能設(shè)計(jì)一般分為兩塊內(nèi)容,分別為WIDS功能設(shè)計(jì)和支持先進(jìn)加密算法和用戶訪問(wèn)控制。

在AC上部署WIDS模塊主要是為了實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的入侵攻擊行為的檢測(cè)和隔離,當(dāng)AC的WIDS模塊檢查到無(wú)線接入網(wǎng)發(fā)生了諸如非法登陸等行為時(shí),AC能自動(dòng)監(jiān)測(cè)發(fā)生問(wèn)題的AP和客戶端,并將其從網(wǎng)絡(luò)里剔除。由于WIDS只能檢測(cè)出離基于二層網(wǎng)絡(luò)的攻擊行為,因此還需要AC設(shè)備可以支持與高層的IDS設(shè)備聯(lián)動(dòng)。

為保證無(wú)線網(wǎng)絡(luò)部分的安全,設(shè)計(jì)要求AP/AC必須支持多種加密和認(rèn)證技術(shù)統(tǒng)一實(shí)施。

4.3 統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出的設(shè)計(jì)

基于保證用戶使用的便捷性,校園無(wú)線網(wǎng)絡(luò)一般采用統(tǒng)一身份認(rèn)證和統(tǒng)一準(zhǔn)入準(zhǔn)出的設(shè)計(jì)方案。常見的web portal和802.1x兩種認(rèn)證方式能夠滿足不同區(qū)域的不同業(yè)務(wù)訪問(wèn)需求。

4.4 出口安全功能設(shè)計(jì)

一般來(lái)說(shuō)網(wǎng)絡(luò)具有獨(dú)立的網(wǎng)絡(luò)出口,作為連接內(nèi)外網(wǎng)設(shè)備的出口網(wǎng)關(guān)需擁有強(qiáng)大的路由功能,支持多種路由協(xié)議。當(dāng)用戶訪問(wèn)互聯(lián)網(wǎng)時(shí),網(wǎng)關(guān)設(shè)備要自動(dòng)校準(zhǔn)DNS解析,在多種路由協(xié)議的支持下用戶選擇最快的路徑訪問(wèn)互聯(lián)網(wǎng)。另外,出口網(wǎng)關(guān)還需支持NAT的地址轉(zhuǎn)換,實(shí)現(xiàn)內(nèi)外網(wǎng)地址分離,節(jié)省公網(wǎng)IP地址資源。為保證內(nèi)網(wǎng)能夠抵御外網(wǎng)的攻擊,出口設(shè)備需要有完善的安全措施,確保無(wú)線校園網(wǎng)的安全平穩(wěn)運(yùn)行。從節(jié)約建設(shè)資金的角度考慮,一般在安全功能上要求采用一體化的安全網(wǎng)關(guān)設(shè)備來(lái)綜合實(shí)現(xiàn)安全功能,避免購(gòu)買大量安全設(shè)備。

4.5 SSID和VLAN劃分設(shè)計(jì)

一般來(lái)說(shuō)無(wú)線校園網(wǎng)里至少需要規(guī)劃五種VLAN,分別是:無(wú)線用戶的業(yè)務(wù)VLAN、無(wú)線用戶VLAN、AP的管理VLAN、AC的管理VLAN和交換機(jī)的管理VLAN。其中AP的管理VLAN用于AP到AC的通信,之所以將AP和無(wú)線用戶的VLAN分開劃分,是保護(hù)AP和AC通信的安全,增強(qiáng)其穩(wěn)健性。AC的管理VLAN用于外網(wǎng)遠(yuǎn)程登錄AC。交換機(jī)的管理VLAN用于交換機(jī)的遠(yuǎn)程管理。無(wú)線用戶VLAN和無(wú)線用戶的業(yè)務(wù)VLAN要根據(jù)實(shí)際情況靈活分配。

網(wǎng)絡(luò)設(shè)備可分配的VLAN數(shù)量很大,一般來(lái)說(shuō)支持?jǐn)?shù)量達(dá)到4096個(gè),完全可以滿足中等規(guī)模無(wú)線校園網(wǎng)的業(yè)務(wù)需求。根據(jù)業(yè)務(wù)實(shí)行全網(wǎng)單一SSID的設(shè)計(jì)在無(wú)線校園網(wǎng)建設(shè)中比較常見。唯一SSID的設(shè)計(jì)簡(jiǎn)化了管理難度,用戶在使用時(shí)也較易實(shí)現(xiàn)全網(wǎng)的無(wú)縫漫游。

4.6 IP地址規(guī)劃設(shè)計(jì)

無(wú)線校園網(wǎng)里的IP地址規(guī)劃,通常要考慮終端STA的IP地址、AP的管理IP地址、AC的IP地址和不同業(yè)務(wù)的網(wǎng)關(guān)IP地址。STA用戶的IP地址和AP的管理IP地址都要求通過(guò)DHCP Server自動(dòng)獲得,不需要手工配置。DHCP Server的位置通常都在核心層,可集成在某個(gè)設(shè)備模塊上。常見手法是獨(dú)立采用ZHICHI DHCP reply功能的核心交換機(jī)。通過(guò)在出口網(wǎng)關(guān)上利用NAT地址轉(zhuǎn)換,STA和AP分配到的私網(wǎng)地址就訪問(wèn)互聯(lián)網(wǎng)。這樣的IP地址規(guī)劃,有利于節(jié)約公網(wǎng)地址資源。

4.7 網(wǎng)絡(luò)管理安全系統(tǒng)的功能設(shè)計(jì)

面對(duì)像中等校園規(guī)模的網(wǎng)絡(luò)實(shí)現(xiàn)統(tǒng)一的安全管理非常重要。由于網(wǎng)絡(luò)規(guī)模很大,因此安全策略的制定需要從全網(wǎng)的角度來(lái)出發(fā)設(shè)計(jì),完全有必要建立一套相應(yīng)的、完善的安全管理系統(tǒng)來(lái)掌握全網(wǎng)的安全動(dòng)向。設(shè)備方面,盡量采用同一個(gè)廠商的主要設(shè)備,那樣可以很好的實(shí)現(xiàn)設(shè)備的兼容性。另外,新建立的網(wǎng)管系統(tǒng)在技術(shù)上必須滿足包括支持大規(guī)模無(wú)線設(shè)備的配置和管理,支持B/S的架構(gòu),支持網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn),支持無(wú)線AP和AC以及有線設(shè)備的統(tǒng)一管理,支持接收告警信息,能夠準(zhǔn)確定位故障點(diǎn),可以分析映射表發(fā)現(xiàn)IP和MAC地址異常等。

5 無(wú)線校園網(wǎng)絡(luò)的安全功能測(cè)試

要驗(yàn)證無(wú)線校園網(wǎng)方案的安全功能能不能達(dá)到高校安全的要求,還需要進(jìn)行一系列的安全功能測(cè)試。比如:非法AP的檢測(cè)和抑制功能測(cè)試、網(wǎng)管系統(tǒng)發(fā)現(xiàn)AP故障并處理的功能測(cè)試、網(wǎng)管系統(tǒng)定位合法和非法終端的功能測(cè)試等。如測(cè)試結(jié)果良好,則說(shuō)明無(wú)線校園網(wǎng)的安全功能達(dá)到了設(shè)計(jì)要求。

6 總結(jié)與展望

通過(guò)對(duì)當(dāng)今常見的無(wú)線校園網(wǎng)架構(gòu)進(jìn)行研究,本文著重討論了應(yīng)如何搭建無(wú)線校園網(wǎng)安全架構(gòu),并提出了相應(yīng)的安全實(shí)施方案。本文重點(diǎn)闡述了目前面臨的無(wú)線網(wǎng)絡(luò)安全問(wèn)題,根據(jù)這些問(wèn)題并結(jié)合中等規(guī)模校園的無(wú)線校園網(wǎng)絡(luò)安全需求,詳細(xì)闡述基于三層架構(gòu)的獨(dú)立成網(wǎng)的無(wú)線校園網(wǎng)的安全部署和安全措施。

隨著手持智能終端的迅速普及,無(wú)線網(wǎng)絡(luò)在未來(lái)的發(fā)展中占據(jù)著特別重要的角色。雖然當(dāng)前無(wú)線網(wǎng)絡(luò)還存在著各種各樣的安全漏洞和隱患,但隨著各項(xiàng)網(wǎng)絡(luò)技術(shù)和系統(tǒng)技術(shù)的發(fā)展,我相信在不久的將來(lái)這些問(wèn)題都能得到很好地解決。展望未來(lái),信息時(shí)代即將到來(lái)。

參考文獻(xiàn)

[1]錢進(jìn).無(wú)線局域網(wǎng)技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2004.

[2]段水福,歷曉華,段煉.無(wú)線局域網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)[M].杭州:浙江大學(xué)出版社,2007(11).

[3]孫言強(qiáng),王曉東,周興銘.無(wú)線網(wǎng)絡(luò)中的干擾攻擊[J].軟件學(xué)報(bào),2012,34(05):1207-1221.

[4]馬建峰.無(wú)線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京:高等教育出版社,2008(05).

[5]王隆娟,杜文才,姚孝明.淺談無(wú)線網(wǎng)絡(luò)安全問(wèn)題[J].信息安全與技術(shù),2010(08):87-93.

篇7

面對(duì)一個(gè)龐大、復(fù)雜的內(nèi)網(wǎng)及相關(guān)的信息系統(tǒng),單獨(dú)對(duì)每項(xiàng)信息資產(chǎn)確定保護(hù)方法是非常復(fù)雜的工作,應(yīng)該采用信息安全等級(jí)保護(hù)的策略。邊界防護(hù)作為網(wǎng)絡(luò)安全等級(jí)保護(hù)的重要機(jī)制之一,將劃分整個(gè)系統(tǒng)的邊界,制定安全域規(guī)則,將各類信息系統(tǒng)歸入不同安全域中,對(duì)進(jìn)出該等級(jí)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行有效的控制與監(jiān)視。每個(gè)安全域內(nèi)部都有著基本相同的安全特性,在同一安全域內(nèi)實(shí)施統(tǒng)一的保護(hù),從而大大地降低了安全防護(hù)的難度。

西安交通大學(xué)醫(yī)學(xué)院第一附屬醫(yī)院(以下簡(jiǎn)稱“交大一附院”)擁有內(nèi)外兩套相互物理隔離的網(wǎng)絡(luò)系統(tǒng),內(nèi)網(wǎng)主要應(yīng)用于醫(yī)療業(yè)務(wù)系統(tǒng),外網(wǎng)主要應(yīng)用于辦公及互聯(lián)網(wǎng)業(yè)務(wù),內(nèi)外網(wǎng)之間基本沒(méi)有通信,數(shù)據(jù)交換也采用原始的導(dǎo)入導(dǎo)出方式。傳統(tǒng)的物理隔離方式雖然較為安全,但是違背了等級(jí)保護(hù)為不同等級(jí)數(shù)據(jù)提供通信的初衷,并且隨著SDR(Software Designed Radio)在各個(gè)領(lǐng)域中的應(yīng)用,物理隔離已經(jīng)越來(lái)越難以實(shí)現(xiàn)。

醫(yī)院信息系統(tǒng)安全域劃分

安全域劃分作為邊界安全防護(hù)的首要步驟,并不等同于傳統(tǒng)意義上的物理隔離,它是在綜合分析各套信息系統(tǒng)的安全需求及所面臨的安全威脅的基礎(chǔ)上,充分兼顧系統(tǒng)之間正常數(shù)據(jù)傳輸?shù)耐ㄐ判枨?,?duì)系統(tǒng)內(nèi)不同安全區(qū)域進(jìn)行的層次化安全策略防控。

醫(yī)院信息系統(tǒng)在進(jìn)行安全域劃分設(shè)計(jì)時(shí)應(yīng)遵循以下基本原則:(1)從醫(yī)院信息系統(tǒng)的業(yè)務(wù)特殊性等方面考慮總體性要求,合理劃分網(wǎng)絡(luò)安全域,保證信息系統(tǒng)的整體安全防護(hù)能力;(2)根據(jù)各信息系統(tǒng)與醫(yī)院醫(yī)療相關(guān)程度進(jìn)行層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì),形成網(wǎng)絡(luò)縱深防護(hù)體系,與醫(yī)療業(yè)務(wù)直接相關(guān)系統(tǒng)應(yīng)位于縱深結(jié)構(gòu)內(nèi)部;(3)安全域內(nèi)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;(4)同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;(5)建立多重保護(hù)系統(tǒng),避免將整套系統(tǒng)安全寄托在單一安全措施或安全產(chǎn)品上;(6)安全域劃分的目的是充分發(fā)揮安全產(chǎn)品的整體效能,并不是對(duì)原有系統(tǒng)整體結(jié)構(gòu)的徹底顛覆,因此在對(duì)網(wǎng)絡(luò)結(jié)構(gòu)改造的同時(shí),需要考慮保護(hù)已有投資,避免重復(fù)建設(shè)。

醫(yī)院信息系統(tǒng)邊界劃分

結(jié)合醫(yī)院醫(yī)療業(yè)務(wù)需求和網(wǎng)絡(luò)安全需求,首先從總體架構(gòu)上將該醫(yī)院信息網(wǎng)劃分為醫(yī)療業(yè)務(wù)網(wǎng)(內(nèi)網(wǎng))、辦公互聯(lián)網(wǎng)(外網(wǎng))兩個(gè)基本的信息系統(tǒng)。再針對(duì)各信息系統(tǒng)所承載的業(yè)務(wù)、應(yīng)用等不同特點(diǎn),在各信息系統(tǒng)內(nèi)部繼續(xù)劃分安全域。各信息系統(tǒng)內(nèi)部安全域及網(wǎng)絡(luò)邊界的詳細(xì)劃分情況見圖1。

1.內(nèi)網(wǎng)(醫(yī)療業(yè)務(wù)系統(tǒng))

醫(yī)療業(yè)務(wù)系統(tǒng)主要承載著醫(yī)院醫(yī)療業(yè)務(wù)中的收費(fèi)、電子醫(yī)囑、電子病歷、醫(yī)學(xué)影像、檢驗(yàn)等信息系統(tǒng),其安全域可劃分為:

醫(yī)療業(yè)務(wù)終端區(qū):主要指醫(yī)務(wù)人員使用的業(yè)務(wù)終端,位于醫(yī)療業(yè)務(wù)系統(tǒng)。與互聯(lián)網(wǎng)、辦公網(wǎng)等外部網(wǎng)絡(luò)域物理隔離;

內(nèi)網(wǎng)開發(fā)維護(hù)區(qū):主要指信息維護(hù)及軟件開發(fā)業(yè)務(wù)終端;

內(nèi)網(wǎng)服務(wù)器區(qū):主要指為醫(yī)療業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)及應(yīng)用服務(wù);

內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū):主要指醫(yī)療業(yè)務(wù)系統(tǒng)與辦公互聯(lián)網(wǎng)系統(tǒng)的內(nèi)外數(shù)據(jù)交換區(qū)域。

2.外網(wǎng)(辦公互聯(lián)網(wǎng)系統(tǒng))

辦公終端區(qū):醫(yī)院辦公業(yè)務(wù)如OA、郵件等業(yè)務(wù)終端;

外網(wǎng)服務(wù)器區(qū):醫(yī)院門戶網(wǎng)站、預(yù)約網(wǎng)站及辦公系統(tǒng)服務(wù);

互聯(lián)網(wǎng)接入?yún)^(qū):醫(yī)院局域網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入?yún)^(qū)。

3.相關(guān)邊界描述

根據(jù)醫(yī)院業(yè)務(wù)特點(diǎn),醫(yī)療業(yè)務(wù)系統(tǒng)承載著醫(yī)院業(yè)務(wù)運(yùn)轉(zhuǎn),其安全性關(guān)系到每位患者的切身利益,下面以該院內(nèi)網(wǎng)區(qū)域?yàn)橹?,按照安全域劃分的具體情況,對(duì)照分析各安全域之間的業(yè)務(wù)關(guān)系,各邊界及相關(guān)接口定義描述如下:

邊界1:內(nèi)網(wǎng)與外網(wǎng)的互聯(lián)邊界,用于實(shí)現(xiàn)醫(yī)療業(yè)務(wù)系統(tǒng)與辦公互聯(lián)網(wǎng)的數(shù)據(jù)交互及分級(jí)防護(hù);

邊界2:業(yè)務(wù)終端邊界,用于實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)與醫(yī)護(hù)人員的人機(jī)交互業(yè)務(wù);

邊界3:維護(hù)開發(fā)終端邊界,內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)與軟件開發(fā)的互聯(lián)邊界,用于軟件開發(fā)、更新、系統(tǒng)維護(hù)等等業(yè)務(wù);

邊界4:服務(wù)器區(qū)邊界,門戶網(wǎng)站、診療預(yù)約網(wǎng)站與公眾訪問(wèn)的邊界。

醫(yī)療業(yè)務(wù)網(wǎng)邊界防護(hù)方案設(shè)計(jì)

邊界保護(hù)主要考慮的問(wèn)題是如何使某個(gè)安全等級(jí)的網(wǎng)絡(luò)內(nèi)部不受來(lái)自外部的攻擊,根據(jù)邊界劃分結(jié)果,主要防護(hù)的區(qū)域有:內(nèi)外網(wǎng)交換區(qū)、服務(wù)器區(qū)、業(yè)務(wù)終端區(qū)、維護(hù)開發(fā)終端區(qū)。邊界防護(hù)的主要機(jī)制有以下幾種。

1.網(wǎng)絡(luò)邊界隔離措施(防火墻、網(wǎng)閘)

防火墻、網(wǎng)閘是常規(guī)的網(wǎng)絡(luò)邊界防護(hù)技術(shù),便于對(duì)網(wǎng)絡(luò)邊界進(jìn)行安全控制,但是傳統(tǒng)防火墻無(wú)法對(duì)病毒、蠕蟲及其引起的惡意流量進(jìn)行控制。防火墻技術(shù)利用邏輯層訪問(wèn)控制策略,對(duì)雙向數(shù)據(jù)進(jìn)行定義,物理層屬于聯(lián)通狀態(tài),實(shí)時(shí)交互性高,安全性高。網(wǎng)閘由于采用數(shù)據(jù)“擺渡”原理,在數(shù)據(jù)傳遞過(guò)程中網(wǎng)絡(luò)之間屬于物理隔離狀態(tài),實(shí)時(shí)交互性較差,安全性最高。

交大一附院在使用網(wǎng)絡(luò)過(guò)程中發(fā)現(xiàn),網(wǎng)閘安全性高,但維護(hù)難度較高,配置較為復(fù)雜,如果廠商的支持力度不足將大大影響醫(yī)院外聯(lián)業(yè)務(wù)的開展,而防火墻雖然安全性較網(wǎng)閘差,但是配置簡(jiǎn)單。因此,可以針對(duì)不同業(yè)務(wù)對(duì)安全性的要求及數(shù)據(jù)交互的實(shí)時(shí)性要求,采用不同的網(wǎng)絡(luò)邊界防護(hù)措施。

2.主機(jī)邊界入侵防御系統(tǒng)(IDS、IPS、UTM)

入侵防御系統(tǒng),在攻擊檢測(cè)、安全審計(jì)和監(jiān)控方面都發(fā)揮了重要作用,通常架設(shè)在網(wǎng)絡(luò)間的通信路徑中間。IDS以旁路方式接入網(wǎng)絡(luò),對(duì)不產(chǎn)生網(wǎng)絡(luò)負(fù)載,以檢測(cè)報(bào)警功能為主。IPS不僅能夠?qū)崿F(xiàn)對(duì)攻擊的檢測(cè)報(bào)警,還能對(duì)攻擊進(jìn)行阻攔和防范,但是必須串聯(lián)接入網(wǎng)絡(luò),在系統(tǒng)防護(hù)的同時(shí)勢(shì)必對(duì)網(wǎng)絡(luò)流量造成影響。

UTM是集合IDS、IPS、防病毒、防火墻等功能于一身的防護(hù)措施,所以也被稱為“統(tǒng)一威脅管理平臺(tái)”,主要應(yīng)用于網(wǎng)絡(luò)邊界,如局域與廣域之間、內(nèi)網(wǎng)與外網(wǎng)之間,UTM使得網(wǎng)絡(luò)邊界的防護(hù)整體化、平臺(tái)化,它的處理能力、吞吐量和自身對(duì)抗攻擊的能力是影響性能的關(guān)鍵因素。但是,作為其他環(huán)節(jié)的防護(hù)措施而言,過(guò)于集中的功能與我們按照等級(jí)或按照安全域進(jìn)行分級(jí)防護(hù)的思路有所偏差。

根據(jù)醫(yī)院業(yè)務(wù)特色,醫(yī)院業(yè)務(wù)高峰相對(duì)集中,同時(shí)在網(wǎng)絡(luò)邊界已經(jīng)采用了防火墻及網(wǎng)閘技術(shù),過(guò)度的防御反而會(huì)對(duì)業(yè)務(wù)系統(tǒng)的性能造成影響,容易形成網(wǎng)絡(luò)瓶頸,因此我們采用了旁路方式將IDS接入核心網(wǎng)絡(luò)區(qū)域,實(shí)現(xiàn)內(nèi)部與外部入侵的綜合檢測(cè),根據(jù)報(bào)警及時(shí)采取相應(yīng)措施。

3.終端邊界安全防護(hù)

據(jù)調(diào)查醫(yī)院內(nèi)部網(wǎng)絡(luò)中95%以上的病毒,源自終端設(shè)備違規(guī)使用外接設(shè)備交換數(shù)據(jù),因此對(duì)終端設(shè)備的端口控制與病毒防護(hù)尤為重要。部分防病毒系統(tǒng)已經(jīng)具備防病毒與端口管理等多種功能,也可以通過(guò)桌面管理實(shí)現(xiàn)對(duì)終端的資產(chǎn)管理、遠(yuǎn)程維護(hù)、端口管理、組策略管理等更多功能。同時(shí),采取措施對(duì)終端的U盤啟動(dòng)功能進(jìn)行屏蔽或管理達(dá)到有效防護(hù),對(duì)于非法接入的終端設(shè)備,則需要采取終端準(zhǔn)入認(rèn)證機(jī)制。

而針對(duì)維護(hù)開發(fā)終端,使用人員多為計(jì)算機(jī)專業(yè)人員,且有大量外包公司人員,流動(dòng)性大,系統(tǒng)權(quán)限較高,為了便于系統(tǒng)開發(fā)及維護(hù),開發(fā)人員往往需要直接訪問(wèn)主機(jī)、數(shù)據(jù)庫(kù)、外界支持,如遠(yuǎn)程支持、外部數(shù)據(jù)接入,外部文件拷貝等,降低了桌面及防病毒的防護(hù)等級(jí)。對(duì)系統(tǒng)安全的威脅性更高,開發(fā)終端病毒感染數(shù)遠(yuǎn)遠(yuǎn)高于業(yè)務(wù)終端,同時(shí)還有集中在信息科的文件服務(wù)器也是病毒高發(fā)區(qū)。

防病毒網(wǎng)關(guān)作為一種網(wǎng)絡(luò)病毒防護(hù)機(jī)制,需要對(duì)經(jīng)過(guò)網(wǎng)關(guān)的數(shù)據(jù)包都進(jìn)行數(shù)據(jù)過(guò)濾,經(jīng)過(guò)測(cè)試,防病毒網(wǎng)關(guān)對(duì)部分應(yīng)用會(huì)造成效率影響,因此較為適合作為區(qū)域性網(wǎng)絡(luò)防病毒措施,不建議將單臺(tái)設(shè)備用于全網(wǎng)防病毒。

考慮到各種措施的防護(hù)能力,我們將終端防護(hù)的重點(diǎn)放在了開發(fā)維護(hù)終端區(qū),在防病毒及桌面管理的基礎(chǔ)上,采用防病毒網(wǎng)關(guān)及主機(jī)訪問(wèn)網(wǎng)關(guān)(堡壘機(jī)),控制開發(fā)維護(hù)區(qū)域的病毒影響和開發(fā)人員對(duì)主機(jī)的訪問(wèn)控制。

4.安全審計(jì)技術(shù)

在可追究性方面,從安全事件發(fā)生概率來(lái)說(shuō),內(nèi)部問(wèn)題遠(yuǎn)遠(yuǎn)大于來(lái)自系統(tǒng)外部的攻擊,安全審計(jì)已經(jīng)成為信息安全體系中的重要環(huán)節(jié)。對(duì)于內(nèi)部人員非授權(quán)訪問(wèn)、數(shù)據(jù)竊取等違規(guī)操作,可以通過(guò)加強(qiáng)審計(jì)進(jìn)行及時(shí)發(fā)現(xiàn)和有效制止,在國(guó)家信息安全等級(jí)保護(hù)建設(shè)中針對(duì)醫(yī)療行業(yè)的特殊要求中防“統(tǒng)方”被作為重點(diǎn)審計(jì)的一個(gè)環(huán)節(jié)。

因此在安全審計(jì)方面,可以采用以數(shù)據(jù)端口鏡像方式旁路接入網(wǎng)絡(luò)的帶有“統(tǒng)方”審計(jì)的數(shù)據(jù)庫(kù)審計(jì)措施和針對(duì)主機(jī)及網(wǎng)絡(luò)的審計(jì)措施。在數(shù)據(jù)庫(kù)審計(jì)實(shí)施時(shí)由于大部分?jǐn)?shù)據(jù)庫(kù)審計(jì)產(chǎn)品廠商對(duì)醫(yī)療衛(wèi)生行業(yè)不了解,需要進(jìn)行詳細(xì)的需求調(diào)研和系統(tǒng)設(shè)置。

5.其他安全保護(hù)措施

除以上述主要的邊界安全措施外,還需采用以下安全保護(hù)技術(shù),以保證各安全域內(nèi)服務(wù)的完整性、可用性,以及信息的完整性、機(jī)密性、可用性:

(1)在各安全域的核心交換機(jī)上進(jìn)行VLAN劃分,不同業(yè)務(wù)部署在不同VLAN上,并啟用訪問(wèn)控制列表(AcL)功能,只允許合法的數(shù)據(jù)流通過(guò),實(shí)現(xiàn)不同業(yè)務(wù)之問(wèn)的隔離。安全策略應(yīng)細(xì)化到IP地址和端口。

(2)在各安全域的核心交換機(jī)上部署漏洞掃描系統(tǒng),搜索安全域內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備、各監(jiān)務(wù)子系統(tǒng)和關(guān)鍵服務(wù)器等的漏洞信息,并在不會(huì)對(duì)業(yè)務(wù)系統(tǒng)的正常運(yùn)行造成影響的前提下進(jìn)行相應(yīng)安全加固。

(3)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶,采用動(dòng)態(tài)口令認(rèn)證系統(tǒng)實(shí)現(xiàn)核心服務(wù)器身份認(rèn)證。

(4)在核心服務(wù)器上部署防病毒軟件,進(jìn)行惡意代碼防護(hù),實(shí)時(shí)監(jiān)控主機(jī)的工作狀態(tài)和網(wǎng)絡(luò)訪問(wèn)情況。

6.邊界防護(hù)方案拓?fù)?/p>

綜上所述,交大一附院確定了最終網(wǎng)絡(luò)邊界防護(hù)方案見圖2。

7.方案的設(shè)計(jì)總結(jié)

篇8

關(guān)鍵詞:醫(yī)院 信息網(wǎng)絡(luò)系統(tǒng) 風(fēng)險(xiǎn)控制

當(dāng)今社會(huì),人們獲取信息的重要途徑就是計(jì)算機(jī)網(wǎng)絡(luò),在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的同時(shí)也存在一些安全隱患,它不會(huì)通過(guò)安全的體系設(shè)計(jì)方案進(jìn)行解決,比如非法訪問(wèn)用戶賬戶、干擾計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行、破壞數(shù)據(jù)的完整性,傳播網(wǎng)絡(luò)病毒,進(jìn)行數(shù)據(jù)盜取等。醫(yī)院要想計(jì)算機(jī)網(wǎng)絡(luò)消除安全方面的隱患,需要先對(duì)影響計(jì)算機(jī)安全的因素有個(gè)大體的了解。下面就講解了影響醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全的因素。

一、影響醫(yī)院信息系統(tǒng)安全的因素

1.自身系統(tǒng)及軟硬件的不穩(wěn)定

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)不可避免的會(huì)出現(xiàn)安全漏洞。信息網(wǎng)絡(luò)系統(tǒng)最容易出現(xiàn)漏洞的方面有調(diào)用RPC漏洞,緩沖區(qū)溢出漏洞。信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫(kù)也比較容易受到攻擊。信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的漏洞被利用后,可能會(huì)遭受遠(yuǎn)程攻擊。應(yīng)用軟件具有一定的軟件缺陷,這種缺陷可以存在于小程序中,也可以存在于大型的軟件系統(tǒng)中。軟件的缺陷導(dǎo)致了醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)硬盤設(shè)備方面也存著在缺陷,網(wǎng)絡(luò)硬盤作為信息傳遞中重要的硬件設(shè)備,在被人們使用的同時(shí)也存在著安全隱患,它包含的電磁信息泄露是主要的安全隱患。網(wǎng)絡(luò)硬盤與計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)組成的不牢固也能造出計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全隱患。

2.網(wǎng)絡(luò)病毒的惡意傳播

現(xiàn)在網(wǎng)絡(luò)病毒從類型上來(lái)分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動(dòng)程序,它往往會(huì)隱藏在醫(yī)院計(jì)算機(jī)的操作系統(tǒng)中,對(duì)用戶資料進(jìn)行竊取。而蠕蟲病毒比木馬病毒更高級(jí)一些,它的傳播可以通過(guò)操作系統(tǒng)以及軟件程序的漏洞進(jìn)行主動(dòng)攻擊,傳播途徑非常廣泛,每一個(gè)蠕蟲病毒都帶有檢查計(jì)算機(jī)電腦是否有系統(tǒng)及軟件漏洞的模塊,如果發(fā)現(xiàn)電腦含有漏洞,立刻啟動(dòng)傳播程序傳播出去,它的這一特點(diǎn),使危害性比木馬病毒大的多,在一臺(tái)電腦感染了蠕蟲病毒后,通過(guò)這個(gè)電腦迅速的傳播到、該電腦所在網(wǎng)絡(luò)的其他電腦中,電腦被感染蠕蟲病毒后,會(huì)接受蠕蟲病毒發(fā)送的數(shù)據(jù)包,被感染的電腦由于過(guò)多的無(wú)關(guān)數(shù)據(jù)降低了自己的運(yùn)行速度,或者造成CPU內(nèi)存占用率過(guò)高而死機(jī)。漏洞型病毒傳播方法主要通過(guò)微軟windows操作系統(tǒng)。由于windows操作系統(tǒng)漏洞很多或者用戶沒(méi)有及時(shí)的進(jìn)行windows系統(tǒng)的自身更新,造成了漏洞型病毒趁虛而入,攻占醫(yī)院的計(jì)算機(jī)電腦。計(jì)算機(jī)技術(shù)在更新?lián)Q代,病毒技術(shù)也在發(fā)展變化,現(xiàn)在的網(wǎng)絡(luò)病毒不像以前的計(jì)算機(jī)病毒,現(xiàn)在的病毒有的可以通過(guò)多種途徑共同傳播,比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對(duì)網(wǎng)絡(luò)的危害性更大,處理查殺起來(lái)也比較困難。

3.人為惡意攻擊

人為的惡意攻擊是醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)面臨的最大安全風(fēng)險(xiǎn),人為的惡意攻擊可以分為主動(dòng)攻擊和被動(dòng)攻擊,主動(dòng)攻擊是有選擇的通過(guò)各種形式破壞信息網(wǎng)絡(luò)系統(tǒng)的完整性和有效性;被動(dòng)攻擊是在不影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的情況下,進(jìn)行數(shù)據(jù)信息的竊取、截獲以及尋找重要的機(jī)密文件。它們都對(duì)醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)造成了巨大的危害。

二、保護(hù)醫(yī)院信息系統(tǒng)安全的措施

1.建立防火墻防御技術(shù)

防火墻設(shè)計(jì)的理念是防止計(jì)算機(jī)網(wǎng)絡(luò)信息泄露,它通過(guò)既定的網(wǎng)絡(luò)安全策略,對(duì)網(wǎng)內(nèi)外通信實(shí)施強(qiáng)制性的訪問(wèn)控制,借此來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。它對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進(jìn)行安全檢查,監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行狀態(tài)。一個(gè)完整的防火墻保護(hù)體系可以很好的阻止威脅計(jì)算機(jī)的用戶及其數(shù)據(jù),阻止黑客通過(guò)病毒程序訪問(wèn)自己的電腦網(wǎng)絡(luò),防止不安全因素?cái)U(kuò)散到電腦所在的局域網(wǎng)絡(luò)。通過(guò)將用戶電腦的使用賬戶密碼設(shè)置的高級(jí)些,,禁用或者刪除無(wú)用的賬號(hào),不定期進(jìn)行賬號(hào)密碼的修改都可以很好的防止病毒侵入。由于網(wǎng)絡(luò)入侵者的實(shí)時(shí)性、動(dòng)態(tài)性,所以在計(jì)算機(jī)網(wǎng)絡(luò)中防火墻軟件要做到實(shí)時(shí)監(jiān)控的要求。防火墻的實(shí)時(shí)監(jiān)控技術(shù)通過(guò)過(guò)濾在調(diào)用前的所以程序,發(fā)現(xiàn)含有破壞網(wǎng)絡(luò)安全的程序文件,并發(fā)出警報(bào),對(duì)可疑程序進(jìn)行查殺,將網(wǎng)絡(luò)入侵者阻攔,使計(jì)算機(jī)免受其害。

2.采用特征碼技術(shù)

目前的查殺病毒采用方法主流是通過(guò)結(jié)合特征碼查毒和人工解毒。當(dāng)搜查病毒時(shí)采用特征碼技術(shù)查毒,在殺除清理的時(shí)候采用人工編制解毒技術(shù)。特征碼查毒技術(shù)體現(xiàn)了人工識(shí)別病毒的基本方法,它是人工查毒的簡(jiǎn)單描述,按照“病毒中某一類代碼相同”的原則進(jìn)行查殺病毒。當(dāng)病毒的種類和變形病毒有相關(guān)同一性時(shí),可以使用這種特性進(jìn)行程序代碼比較,然后查找出病毒。但是描述特征碼不能用于所有的病毒,許多的病毒很難被特征碼進(jìn)行描述或者根本描述不出來(lái)。在使用特征碼技術(shù)時(shí),一些補(bǔ)充功能需要一同使用,比如壓縮包和壓縮可執(zhí)行性文件的自動(dòng)查殺技術(shù)。

3.其他網(wǎng)絡(luò)安全保護(hù)對(duì)策

加密技術(shù)通過(guò)將醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的可讀信息變?yōu)槊芪膩?lái)保護(hù)網(wǎng)絡(luò)安全。IP地址影響著用戶的計(jì)算機(jī)網(wǎng)絡(luò)安全,網(wǎng)絡(luò)黑客通過(guò)特殊的網(wǎng)絡(luò)探測(cè)手段抓取用戶IP,然后對(duì)此發(fā)送網(wǎng)絡(luò)攻擊。對(duì)IP進(jìn)行隱藏是指通過(guò)用戶服務(wù)器上網(wǎng),防止了網(wǎng)絡(luò)黑客獲取自己的IP。關(guān)閉電腦中不必要的端口也可以有效防范黑客的入侵,還能提高系統(tǒng)的資源利用率。對(duì)自己的賬號(hào)密碼進(jìn)行定期、不定期的更改,然后設(shè)置賬號(hào)密碼保護(hù)問(wèn)題,可以在第一道防線阻止網(wǎng)絡(luò)黑客的入侵。及時(shí)更新計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護(hù)網(wǎng)絡(luò)安全軟件,對(duì)保護(hù)網(wǎng)絡(luò)安全的軟件進(jìn)行及時(shí)更新。

總結(jié)

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全與醫(yī)院的經(jīng)濟(jì)效益息息相關(guān)。影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的因素是多方面的,網(wǎng)絡(luò)病毒也在不斷發(fā)展進(jìn)化,面對(duì)這種嚴(yán)峻的形勢(shì),我們不能只采用單一的防范措施,而是采用多種保護(hù)醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的措施,相互協(xié)調(diào),發(fā)揮優(yōu)勢(shì),揚(yáng)長(zhǎng)避短,保證醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)在防范風(fēng)險(xiǎn)方面取得較好的效果。

參考文獻(xiàn):

[1]王鑫.關(guān)于醫(yī)院網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)安全的防范技術(shù)[J].計(jì)算機(jī)與數(shù)字工程,2009

[2]鄧立新.加強(qiáng)醫(yī)院中信息網(wǎng)絡(luò)系統(tǒng)安全的思考[J].科技資訊,2008(26)

篇9

ICS的網(wǎng)絡(luò)威脅與脆弱性

ICS系統(tǒng)的網(wǎng)絡(luò)威脅工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)朝著工業(yè)以太網(wǎng)的方向發(fā)展,其開放性逐漸增強(qiáng),基于TCP/IP以太網(wǎng)通訊的OPC(OLEforProcessControl,用于過(guò)程控制的一個(gè)工業(yè)標(biāo)準(zhǔn))技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。從工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀分析,ICS網(wǎng)絡(luò)面臨兩類安全威脅:1)開放性引入的安全風(fēng)險(xiǎn)。例如TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議的漏洞很容易遭到來(lái)自外部或內(nèi)部網(wǎng)絡(luò)的攻擊。2)連接性引入的安全風(fēng)險(xiǎn)。早期,工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)是物理隔離的,但近年來(lái)為了管理與生產(chǎn)的方便,兩個(gè)網(wǎng)絡(luò)系統(tǒng)間以邏輯隔離的方式存在,因此ICS系統(tǒng)也面臨來(lái)自企業(yè)網(wǎng)絡(luò)和Internet的威脅。表2總結(jié)了ICS系統(tǒng)存在的幾種網(wǎng)絡(luò)威脅[1]。

ICS系統(tǒng)的脆弱性工業(yè)控制系統(tǒng)的漏洞存在多個(gè)方面,如物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等,其中可以造成網(wǎng)絡(luò)入侵攻擊的漏洞主要包括以下一些問(wèn)題[1,5]。

工業(yè)控制系統(tǒng)安全防護(hù)設(shè)計(jì)

近些年,業(yè)內(nèi)提出了深度防御策略[1,6-7]來(lái)對(duì)一個(gè)典型的ICS系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù),主要包括以下內(nèi)容:1)為ICS系統(tǒng)實(shí)現(xiàn)多層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),在最安全和可靠的層執(zhí)行最嚴(yán)格的通信。2)在企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)間提供邏輯隔離(即在兩個(gè)網(wǎng)絡(luò)間配置狀態(tài)檢測(cè)防火墻)。3)配置DMZ網(wǎng)絡(luò)結(jié)構(gòu)(即阻止企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)的直接通信)。4)確保關(guān)鍵的部件是冗余的,并且部署在冗余網(wǎng)絡(luò)上。5)在經(jīng)過(guò)測(cè)試能夠確保不影響ICS操作的情況下,禁止ICS設(shè)備未使用的端口和服務(wù)。6)嚴(yán)格限制物理設(shè)備接入ICS網(wǎng)絡(luò)。7)建立基于角色的訪問(wèn)控制規(guī)則,根據(jù)最小化特權(quán)的原則配置每個(gè)角色的權(quán)力。8)考慮對(duì)ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的用戶采用獨(dú)立的鑒權(quán)機(jī)制。9)在技術(shù)可行的情況下實(shí)現(xiàn)安全控制,如防病毒軟件、文件完整性檢查軟件,以阻止、發(fā)現(xiàn)和減少惡意軟件的進(jìn)入和傳播。10)在ICS數(shù)據(jù)的存儲(chǔ)和通信中,應(yīng)用加密等安全技術(shù)。11)在現(xiàn)場(chǎng)環(huán)境中,必須在測(cè)試系統(tǒng)上測(cè)試所有的補(bǔ)丁,然后再安裝到ICS系統(tǒng)并配置安全的補(bǔ)丁。12)在ICS的重要區(qū)域跟蹤和監(jiān)控審計(jì)日志。這里認(rèn)為在ICS的3層網(wǎng)絡(luò)體系中,應(yīng)進(jìn)行多層-多級(jí)安全防護(hù)。在各層邊界部署防火墻以進(jìn)行有效隔離。其中信息管理層部署商業(yè)防火墻,商用IDS、IPS,以過(guò)濾、監(jiān)控、聯(lián)動(dòng)處理2-7層網(wǎng)絡(luò)的攻擊;在生產(chǎn)管理層部署面向生產(chǎn)過(guò)程控制的工業(yè)防火墻,同時(shí)對(duì)信息管理層的外部用戶、第三方的連接需求采用專用VPN設(shè)備,在生產(chǎn)管理層部署具有物理隔離功能的單向網(wǎng)閘,通過(guò)其單向的數(shù)據(jù)導(dǎo)入和物理隔離能力保證工業(yè)過(guò)程的信息流嚴(yán)格可控。此外,在接入?yún)^(qū)部署防病毒服務(wù)器及終端管理系統(tǒng),并對(duì)商用數(shù)據(jù)庫(kù)部署審計(jì)系統(tǒng),滿足數(shù)據(jù)管理要求;在管理運(yùn)維客戶端部署運(yùn)維操作審計(jì)系統(tǒng),滿足配置管理要求,強(qiáng)化口令及權(quán)限管理;針對(duì)PC/服務(wù)器的操作系統(tǒng)級(jí)漏洞實(shí)現(xiàn)有效管理,部署商用漏洞掃描產(chǎn)品;針對(duì)采用無(wú)線連接的系統(tǒng),部署無(wú)線安全產(chǎn)品。通過(guò)上述的多層-多級(jí)防護(hù),可以基本滿足《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))的要求。

結(jié)語(yǔ)

篇10

關(guān)鍵詞:vlan;校園網(wǎng)設(shè)計(jì)

中圖分類號(hào):TP393.18

在90年代末期,我國(guó)高校逐步建立了校園網(wǎng)。起初,許多院校基本上采用服務(wù)器的上網(wǎng)方式,其只能滿足規(guī)模小的網(wǎng)絡(luò),并且不便于管理,極容易導(dǎo)致IP沖突以及廣播風(fēng)爆。雖然交換技術(shù)的不斷發(fā)展,高校又逐漸實(shí)現(xiàn)基于VLAN上網(wǎng)方式。它可以有效隔離廣播風(fēng)爆,提高個(gè)人用戶安全性,又方便用戶人員變動(dòng),更好的滿足用戶的需求。這種上網(wǎng)方式也逐步受到高校網(wǎng)絡(luò)管理人員的親睞。為了強(qiáng)化網(wǎng)絡(luò)管理,管理者首先需要對(duì)其進(jìn)行詳盡的設(shè)計(jì)。

1 Vlan技術(shù)

VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”。VLAN是一種通過(guò)局域網(wǎng)內(nèi)的設(shè)備從邏輯地劃分成一個(gè)個(gè)網(wǎng)段,以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理的技術(shù)。這些網(wǎng)段內(nèi)的機(jī)器有著共同的需求,而與物理位置無(wú)關(guān)。VLAN的作用是使得同一VLAN中的成員間能夠互相通信,而不同VLAN之間則是相互隔離的,不同的VLAN間的如果要通信就要通過(guò)必要的路由設(shè)備;通過(guò)將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全,控制不必要的數(shù)據(jù)廣播。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理企業(yè)內(nèi)部不同管理單元之間的 信息互訪。交換機(jī)是根據(jù)交換機(jī)的端口來(lái)劃分VLAN的。所以,用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公,不論他在何處接入交換網(wǎng)絡(luò),他都可以與VLAN內(nèi)其他用戶自如通訊。

2 校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

為了減少網(wǎng)絡(luò)中各部分的相關(guān)性,便于網(wǎng)絡(luò)的實(shí)施及管理,在網(wǎng)絡(luò)的構(gòu)建中,從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層等三個(gè)層次。采用了分層結(jié)構(gòu)的校園網(wǎng)解決方案在性能、可靠性、擴(kuò)展性等方面有無(wú)可比擬的優(yōu)勢(shì),在投資保護(hù)方面,使得整個(gè)網(wǎng)絡(luò)的性能價(jià)格比最優(yōu)。整個(gè)網(wǎng)絡(luò)的設(shè)計(jì),采用vlan技術(shù),邏輯地將物理網(wǎng)絡(luò)進(jìn)行劃分和管理。而其整體規(guī)劃、設(shè)計(jì)需要體現(xiàn)在路由、交換設(shè)備上詳盡的配置。管理者可通過(guò)telnet或web的方式遠(yuǎn)程可以對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整,具有較強(qiáng)的靈活性。由于目前思科公司設(shè)備的價(jià)格不菲,很多高校都采用了價(jià)格低廉的華為、中興交換機(jī)接入校園網(wǎng),來(lái)減少經(jīng)費(fèi)。以某高校為例,其路由、交換設(shè)備多采用華為、H3C,其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

2.1 核心層網(wǎng)絡(luò)設(shè)計(jì)。核心層的主要功能是實(shí)現(xiàn)數(shù)據(jù)包高速交換。核心層是所有流量的最終匯聚點(diǎn)和處理點(diǎn),它的結(jié)構(gòu)應(yīng)相對(duì)簡(jiǎn)單,但其性能要求較高,核心交換機(jī)一般采用高性能的多層模塊化交換機(jī),還要保證高速率的幀轉(zhuǎn)發(fā)。在設(shè)計(jì)策略上一般采用設(shè)備冗余和鏈路冗余設(shè)計(jì),以保證網(wǎng)絡(luò)的QoS和可靠性。避免網(wǎng)絡(luò)配置的復(fù)雜度,因?yàn)橐坏﹫?zhí)行策略出錯(cuò),將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

該校的核心層交換機(jī)啟用三層功能,對(duì)VLAN進(jìn)行規(guī)劃,在端口中使用Trunk技術(shù),起到隔離作用,部份VLAN的配置信息如下:

#

interface Vlanif2 //網(wǎng)通出口

description connect-cnc

undo shutdown

ip address 202.102.235.54 255.255.255.252

#

interface Vlanif3 //連接校內(nèi)服務(wù)器組

description server-group

undo shutdown

ip address 202.102.240.80 255.255.255.0

ip address 218.28.87.17 255.255.255.240 sub

#

interface Vlanif99 //管理VLAN

undo shutdown

description guanli

ip address 192.168.100.1 255.255.255.0

#

2.2 匯聚層網(wǎng)絡(luò)設(shè)計(jì)。匯聚層的主要功能是匯聚網(wǎng)絡(luò)流量,屏蔽接入層變化對(duì)核心層的影響。對(duì)網(wǎng)絡(luò)主干鏈路進(jìn)行流量控制、負(fù)載均衡和QoS保證。不同vlan之間的計(jì)算機(jī)需要通信時(shí),應(yīng)當(dāng)在匯聚層進(jìn)行路由處理。

在該高校校園網(wǎng)中匯聚層交換機(jī)采用S6506,匯聚層交換機(jī)到每一幢樓采用光纖連接,在該高校校園網(wǎng)拓樸規(guī)劃中,采用24芯光纜到每一幢樓,每一幢樓的每一層各使用一對(duì)光纖到匯聚層的交換機(jī),在匯聚層的交換機(jī)端口設(shè)置不同的VLAN,給每一個(gè)VLAN配置上IP地址,再進(jìn)行路由,交換機(jī)之間的連接采用TRUNK技術(shù),每一層相互之間隔離,不允許相互間訪問(wèn),匯聚層交換機(jī)VLAN的部份配置:

#

vlan 12

description to-8016-g4/0/2

#

vlan 99

description guanli

#

vlan 301

description to-3cun1#

#

interface Vlan-interface301

description to-3cun1#

ip address 59.69.129.1 255.255.255.224

#

interface Ethernet3/0/1

description to 3cun1#

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 99 301

port trunk pvid vlan 301

broadcast-suppression 10

#

2.3 接入層網(wǎng)絡(luò)設(shè)計(jì)。接入層處理網(wǎng)絡(luò)邊緣,接入節(jié)點(diǎn)一般距離網(wǎng)絡(luò)管理中心較遠(yuǎn),而且節(jié)點(diǎn)分散,數(shù)量眾多,接入設(shè)備良好的可管理性將大大降低網(wǎng)絡(luò)運(yùn)營(yíng)成本,必須選用可網(wǎng)管的交換機(jī),交換機(jī)應(yīng)提供Web 、Telnet等多種管理方式。如果交換機(jī)具有遠(yuǎn)程監(jiān)控功能,就可實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)信息收集,有效進(jìn)行故障定位。

在該高校的接入層采用華為2403H/E026/E126交換機(jī),接入層交換機(jī)到匯聚層交換機(jī)之間采用TRUNK連接,為了方便管理,給每個(gè)交換機(jī)配置管理VLAN,可以進(jìn)行遠(yuǎn)程管理,接入層交換機(jī)VLAN的配置信息如下所示:

#

vlan 99

description guanli

#

vlan 515

#

management-vlan 99

#

interface Vlan-interface99

ip address 192.168.100.119 255.255.255.0

description guanli

#

interface Ethernet1/0/2

broadcast-suppression 10

port access vlan 515

#

3 總結(jié)

基于vlan技術(shù)的網(wǎng)絡(luò)設(shè)計(jì)在分層結(jié)構(gòu)下,層次分明,便于擴(kuò)展、移動(dòng),具有較強(qiáng)的靈活性。實(shí)踐證明,設(shè)計(jì)方案是有可行的,強(qiáng)化了網(wǎng)絡(luò)管理,有效控制網(wǎng)絡(luò)流量,抑止廣播風(fēng)爆,提高了網(wǎng)絡(luò)的安全性。

參考文獻(xiàn):

[1]易建勛,姜臘林,史長(zhǎng)瓊.計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)[M].北京:人民郵電出版社,2011.

[2]楚書來(lái),劉若華.vlan技術(shù)在校園網(wǎng)建設(shè)中的應(yīng)用研究[J].電腦知識(shí)與技術(shù),2011(2).

[3]陳凱,胡鵬.vlan技術(shù)在校園網(wǎng)維護(hù)管理中的應(yīng)用[J].電腦知識(shí)與技術(shù),2009(4).

[4]王魏.交換機(jī)在劃分校園vlan中的應(yīng)用[J].北京工業(yè)職業(yè)技術(shù)學(xué)院,2005(7).