网络安全管理的总结十篇

时间:2023-11-09 17:54:14

网络安全管理的总结

网络安全管理的总结篇1

随着现代海关综合管理系统(H2010工程)的正式启动,全国海关系统的计算机网络、操作系统、应用开发都将不同程度地升级换代,以适应新形势下海关业务对海关信息化的依托与要求。作为海关H2010工程的重要建设内容之一,全国海关的计算机网络建设改造任务迫在眉睫,为此,科技司启动了H2010工程综合业务网络平台建设工程项目,该项目是按照国家信息系统等级保护要求,结合海关业务发展和网络建设实际,在保持海关网络双中心和总署、直属海关、隶属海关(现场)分层架构基本不变的基础上,建设能够适应符合等级保护要求、适应业务发展变化、适应海关大监管建设需求和未来海关业务发展的综合业务网络平台,我关区主要建设任务:

(一)按照总署统一部署改造关区骨干网,采用MSTP传输线路和MPLS网络技术,通过资源整合、结构调整和设备更新,替换现有已老化的ATM网络,整合现有骨干网资源,采用数据压缩、负载均衡等技术,提高网络带宽利用率,满足H2010应用系统数据传输需要。

(二)按照总署统一部署改造关区语音通信网络,采用软交换等下一代网络技术,满足语音联网及建立统一服务热线的需要。

(三)按照总署统一部署建设统一网管平台,加强网络管控和安全建设,全面提升海关网络的可用性、可靠性、可扩展性、可管理性和安全性。

(四)优化关区网络结构,更新关区网络设备,建设适应H2010工程需要的智能化关区网络承载平台。

(五)根据实际需求,建设对外接入局域网、物流监控网、移动网等特殊网络平台,满足海关特殊应用需要。

二、总体目标

H2010工程综合业务网络平台关区网的建设目标是:结合海关业务发展和网络建设实际,整合资源,更新设备,引入新技术,优化结构,提升网络管控能力,在保持直属海关、隶属海关(现场)分层架构基本不变的基础上,建设能够适应业务发展变化、适应海关大监管建设需求和未来海关业务发展的安全可靠、规范高效、可管可控、多业务融合的新一代海关关区智能化综合业务网络平台,从而满足数据、语音、视频等多种应用需要,实现关区广域网网络资源的合理配置和有效利用,全面提升关区网络的安全性、可用性、可靠性、扩展性及可管理性。

三、建设任务

(一)优化网络结构,建设新一代关区网络

在保持海关网络直属海关、隶属海关(现场)分层架构基本不变的基础上,结合海关业务发展和网络建设实际,整合资源,更新设备,优化结构,提升性能,建设能够适应业务发展变化、适应海关大监管建设需求和未来海关业务发展的安全可靠、规范高效、可管可控、多业务融合的新一代海关关区智能化综合业务网络平台。

(二)规范网络布局,建设安全的综合业务网络

根据安全要求,开展分区、分级、分类控制建设;构建规范的对外接入局域网和物流监控网,通过采用3G、无线等新技术,满足海关现场业务高效运转需求,建立安全的综合业务网络。

(三)加强运行保障,建设可靠、高效的网络

通过老旧设备更新、组网技术优化、整合优化资源和减少单点故障,进一步提高网络性能,改进和完善海关网络的服务保障能力,建设可靠、高效的网络。

(四)统一建设标准,建设规范的网络

以统一网络建设标准规范指导网络建设,消除网络建设随意性带来的安全风险,各关依据本方案对不同类型、不同区域、不同业务大小的网络进行建设,建立一个规范的网络。

(五)强化控制管理,建设可控的网络

充分利用各类技术手段,加强海关网络的接入控制、服务质量管理、传输内容控制、安全路径控制等,达到防范违规接入、掌握传输状况、合理分配资源的目的,从而建设可控的网络。

(六)适应发展需求,建设多业务融合的网络

数据、语音、视频三位一体是海关工作新时期发展的追求,在IP 网络中实现数据、语音、视频应用的融合,使网络具有支持应用的多样性能力,通过采用必要手段保障各类应用有效传输,建成多业务融合的网络。

四、关区网改造总体设计

(一)总体网络拓扑结构

关区网网络总体拓扑结构设计如下图1所示。关区网总体拓扑从纵向主要可分为直属海关、关区广域网、隶属海关/业务现场三个网络层次;从横向可分为海关内部网和海关外部网两部分。

图1 网络总体拓扑

(二)关区网络划分概要

在关区一级,海关内部网按业务分为业务管理网(融合语音、视频应用)、业务运行网两个不同应用功能的网络;海关外部网分为对外接入局域网、物流监控网(场区网)。各内外网络连接关系示意图如下所示,不同安全级别的网络之间的互联通过防火墙等安全设备予以隔离保护。关区网络框架设计如图2所示。

图2 关区网络框架

业务运行网是海关通关系统以及与通关业务相关的应用网络运行平台。关区业务运行网从网络结构上可划分为广域传输(关区广域网)和接入服务(关区局域网)两部分。关区广域网部分由总署骨干网接入边缘、直属海关至隶属海关/业务现场的广域网部分组成。关区局域网部分由直属海关局域网和隶属海关局域网组成。

业务管理网是海关业务职能管理应用的网络平台,主要承载有海关政务办公系统HB2004和邮件系统等,网络结构与业务运行网基本一致,本次广域资源整合以后,IP 语音、视频会议等应用将以管理网为依托进行承载。

对外接入局域网,是海关管理网对外接入局域网的简称,是直属海关管理网与外部网络连接的唯一通道。在提供数据交换的同时,重点需要建立多层安全防护体系,保障海关内部管理网的安全。对外接入局域网部署在各直属海关,对内与本关区业务管理网通过防火墙进行安全逻辑隔离,对外通过防火墙与当地政府部门、企业等外单位进行联网及数据交换。

(三) 关区广域网改造实施

网改前的关区广域网拓扑示意图如图3所示,网改后的关区广域网拓扑示意图如图4所示。主要是在总署(中心节点)建立了MPLS骨干传输网,各用户节点取消ATM机及ATM-IP接入路由器,以节点PE路由器为骨干网接入,以MPLS VPN替代ATM PVC作为政务/业务网的分网方式。

图3 改造前的网络拓扑示意图

网络安全管理的总结篇2

关键词:船舶计算机网络系统网络安全管理

1引言

进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。

在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。

2船舶计算机网络架构

目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。

有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。

图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。

3船舶计算机网络系统的安全问题

2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。

根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。

为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。

若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。

4船舶计算机网络系统的安全需求分析

为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。

研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。

在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。

(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;

(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;

(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;

(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。

5船舶计算机网络系统安全管理要求

5.1确定船舶网络系统安全管理目标

基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:

通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。

通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:

(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;

(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;

(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;

(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;

(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。

5.2网络系统安全配置原则

船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。

需求、风险、代价平衡的原则

对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。

综合性、整体性、系统性原则

船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。

易于操作、管理和维护性原则

在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。

可扩展性、适应性及灵活性原则

船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。

标准化、分步实施、保护投资原则

依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。

5.3网络安全管理的演进过程

建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。

船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循PDCA的过程方法,必须循序渐进,不断完善,持续改进。

6建立健全船舶计算机网络安全管理制度

针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:

制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;

对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;

对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;

形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;

由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

7 总结

对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:

1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。

2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。

3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。

4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。

参考文献:

网络安全管理的总结篇3

关键词:信息管理机构;网络系统;网络拓扑结构;网络安全管理

中图分类号:C93 文献标志码:A 文章编号:1673-291X(2012)07-0194-02

一、信息管理机构网络系统的选择和设置

1.操作系统的选择。从目前网络系统的发展来看,主要有以下三个系列操作系统:Nonvell网络操作系统、UNIX网络操作系统和Microsoft网络操作系统。Novell网络操作系统是目前世界局域网市场的主导网络操作系统;Microsoft网络操作系统以不仅可以建设局域网而且还可以建设大型网络;UNIX网络操作系统是一个多用户网络系统,系统的扩充性和开放性相对前两者比较缺乏,而网络扩充性和开放性正是衡量网络操作系统的重要指标。

2.传输介质的选择。网络通信传输介质是构成网络设备之间重要的物理通路,在网络设备之间起着重要的互连和通信作用。目前主要使用的网络介质有双绞线、同轴电缆以及光缆等。因为传输介质决定了网络的传输率、网络段的最大长度以及传输的可靠性,因此传输介质的选择直接影响着网络的效率。(1)双绞线。双绞线由两根绝缘导体以螺旋形合在一起,线芯是铜线或镀铜钢线。双绞线主要用于点到点的通信,不适宜直接做分支传递。但由于双绞线价格便宜、结构简单、安装方便等特点,一直在网络建设中得到广泛应用。(2)同轴电缆。同轴电缆由同心的内导体、电绝缘介质、屏蔽层和外套组成,常见的有粗缆和细缆两种。同轴细缆的电气特性较好,非常适合于高频信号,电缆对外辐射信号较小,同时抗干扰能力强,是局域网中使用最广泛、技术最成熟的通信媒体。(3)光缆。光缆不同于以上两种介质,它传输的是光信号而不是电信号。光缆由一束或多束光导纤维组成,是一种最新的通信媒体。传输的电传导媒体相比,它有极高的通信速率(每秒可达数百兆位),有很强的抗电磁干扰能力和很低的传输损耗。但光缆连接比较困难,连接器件价格高,在局域网中很少使用。综合以上各介质特点,可以结合整个网络的设计要求、实际应用要求和环境,作出决定采用何种介质。一般总线网多用同轴细缆,而星形网多用双绞线。

3.网络拓扑结构的选择。网络节点的地理分布和互连关系上的几何构形称为网络的拓扑结构。作为计算机局域网的拓扑结构,常见的有星形、总线形、环形和复合形等。从连接的简便性来看,总线形最简单,网络节点与传输媒体的连接实际上是无源的点接触,而环形节点要通过环插入器与媒体连接,星形的连接中心(HUB)可以是无源的也可以是有源的。从扩展性来看,总线形与星形的扩展性比环形优越,特别是星形最适于办公室布局。信息机构自动化系统可以吸取各拓扑结构的优点,采用总线形与星形相结合的复合形,这样在网络系统的建设过程中,不仅安装简单,而且易于扩展和管理。再有,总线型网络的特点是由一根网线连接所有的计算机的网络结构。总线型网络结构的优点是结构简单、成本低廉、安装容易。其缺点是整个网络的故障率高,一瘫全瘫,查找故障点也较困难,不利于以后扩展。环型网络的优点是整个网络中的数据传输不会出现冲突,结构比较简单。其缺点是一瘫全瘫,查找故障点困难,不利于以后扩展。星型网络的优点是不会一瘫全瘫,查找故障容易,当增加和减少网络中的计算机时不会造成瘫痪,未来扩展方便。其缺点是安装较前两种结构复杂,需要购买集线器。比较三种结构,电子阅览器室作为一种局域网,为使电子阅览室有可扩展性和易维护性,星型结构是首选,传输介质的选择多用双绞线。

二、网络系统环境的规划和管理

1.确定并建设主机房。为了使计算机网络系统能够充分发挥其特有的功能,必须选择合适的主机房环境,并对各种设备进行妥善的安装。机房建设要考虑以下要求:机房总体装修要求;机房环境要求;机房供电和照明要求;接地系统;防火要求;通信系统。机房要选取在信息机构的中央部分,外界环境良好,以便于布线和管理。机房供电和照明要有专门的易于维护的线路,接地系统要稳定可靠,尽量避免不良干扰,同时也必须有良好的消防设备和通信设备。

2.工作站数量和位置。根据系统要求和实际运行情况确定工作站的数量和工作站应摆放的位置,要留有充分的扩展余地。网络系统的建设首先应考虑信息机构自动化系统要实现的功能模块有哪些,各个业务部门要根据工作需要应配备多少台工作站,随着业务工作的拓展应留有多少个扩充接口,对于图书流通和读者查询两个子系统要充分考虑信息机构的发展规模和信息资源的分布。

3.布置网络地线。为了消除噪声、避免干扰,使计算机系统稳定可靠地运行,网络系统必须保持良好的接地。对于地线的处理应该符合以下要求:(1)在机房内不允许与交流地线相短接或混接,以减少干扰。(2)计算机系统的接地,要求接地电阻越小越好。(3)交流线路走线,不允许与直流地线紧贴或平行敷设。(4)直流地线网的设计,应做到机柜的地板下有直流地线,以便相接。

4.安装和测试所有设备和线路。网络系统的安装主要包括文件服务器的配置和工作站的安装,其中最主要的工作是对文件服务器的配置和安装。在安装前,首先用测试工具检查服务器与各工作站之间物理连接是否正确、畅通,检查服务器主机是否符合要求(硬盘、内存指标)。安装、设置好有关硬件(网卡等),避免服务器主机内的硬件冲突。为进一步测试两台机器之间物理连接是否畅通,可以使用Net Ware提供的Comcheck程序,该程序用以检验互连的站点之间是否可以进行点到点屏幕通信。

5.培训网络工作站的所有用户。对于大型网络,系统管理员应有两人以上,以便在任何时候都有一人在现场进行管理维护工作。对网络工作站的操作人员必须进行全面的培训,包括软硬件知识、网络知识、应用系统知识等,以应付日常工作出现的突发故障。要求每一个网络用户都必须在自己的规定权限内工作,严禁越权操作。

三、网络安全管理与维护

1.建立健全各类管理系统的规章制度。这些制度包括机房与设备管理制度、自动化系统的使用规定、工作人员岗位职责和主要网络系统资料存档制度等。机房与设备管理制度应包括主机房安全管理规定、文件服务器管理规则、通信设备和工作站管理规则、主服务器和工作站的操作规程、主要数据定期备份制度和外来软盘使用的审批制度等。自动化系统的使用规定,主要应制定一些对系统应用软件以及部分工具软件的管理制度,建立系统应用各级口令保密制度与定期更换制度。工作人员岗位制度包括网络系统管理人员、工作站操作人员、硬件维护人员、软件维护人员和网络值班人员的岗位职责。网络系统资料存档制度包括网络系统与各类软硬件使用说明书、网络发生故障的主要处理办法的记录、网络通信布线图、网络安装的主要技术指标以及硬件配置的主要技术参数等。

2.网络安全工作。对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度),安装必要的防毒软件和防火墙软件,网络数据进行及时备份。如果经费允许,安装硬盘保护卡能够防止硬盘文件被误删和计算机病毒感染。另外在对工作人员进行系统操作的培训时,还要特别加强对工作人员的安全意识的培训,让工作人员认识到违规操作和病毒给系统所带来的危害和不良后果,从而提高安全防范意识,以确保系统的安全运行。

3.建立严密的权限级别和口令体系。权限级别和口令体系是应用最广泛的网络安全保护措施,对不同业务的网络用户,我们限制其不同的目录权限和读写、管理、建立、删除、修改等权限。如采购部分对本部门所涉及的数据库和程序进行操作,对中央书目数据库只有读的权限,而没有写、删除和修改的权限。与本业务无关的数据库坚决杜绝权限滥设。对各个子系统的操作人员应根据岗位级别设立各级不同的口令,比如流通子系统可以分别设立不同的外借人员口令、数据管理口令和系统管理口令。口令的设置一定要特别,并建立定期更换制度,以防止对网络用户的非法访问。

4.做好病毒防范工作。具体措施:可以购买网络防病毒软件,以便实时监测网络中运行的软件是否感染有病毒。平时,对在网络中运行的程序来源要严格检查、控制,防止未经授权的应用程序在网络或单机环境中运行。另外,尽可能采用无盘工作站,以减少病毒的侵入点。

5.保护系统运行的良好环境。网络系统的运行必须确保良好的环境,否则再好的安全管理措施也无法确保系统安全可靠的运行。因此,主机房的建设一定要符合主机房环境的严格要求,做到防尘、防潮、抗静电、抗噪声。机房设备和环境最好使用抗燃材料,要随时备有防火设备,在条件允许的情况下,可安装自动火灾报警消防设备。总之,图书馆自动化网络系统的建立和运行是对传统手工图书馆的挑战,自动化的图书馆要体现自身的优势,除了具有良好的系统软件和硬件设备以外,还必须对网络环境进行合理的规划和管理。网络系统的规划一定要科学、合理、规范并保持良好的开放性和拓展性,对网络系统的维护要做到制度化。只有这样,自动化的图书馆才能真正发挥其强大的信息服务优势。

6.网络硬件设备的维护。网络计算机不通的现象经常发生,遇到这种问题时,应检查有无中断号及I/O地址冲突,“网上邻居”中能否找到自己,如果“网上邻居”中能找到自己,说明网卡的配置没有问题。此外可确认网线和网络设备工作是否正常,如果网络连线故障(通常包括网络线内部断裂、双绞线、RJ-45水晶头接触不良),或者是网络连接设备本身质量有问题。或是连接有问题,可以使用测线仪来检测一下线路是否断裂,然后用替代的方法来测试一下网络设备的质量是否有问题。如若发现网络中有部分机器不能上网,则可能是接线器的故障,可先检查接线器是否接通电源或接线器的网络接头连接是否正常,一般采用替换法,以确认是否接线器的故障。通常经过以上的步骤,能检查出网络计算机不通的一般故障。

7.软件故障的处理。制作一张带有DOS或Windows最新版本的系统软件,将系统采用Ghost软件来进行备份,采用Ghost维护与升级。由于用Ghost能将目标硬盘复制得与源硬盘几乎完全一样,并实现分区、格式化、复制系统与文件的一步完成,因而只要将整个硬盘的数据克隆成一个映像文件保存在服务器上,然后就可随时还原到其他硬盘或原硬盘上,方便、快速、省力。同样,系统需要升级时,只要将其中一台工作站升级后,其他的工作站便可用Ghost来升级。

参考文献:

[1] 刘金文.浅析网站建设[J].硅谷,2010,(3).

[2] 钱鑫.现代网络信息安全问题剖析[J].电脑知识与技术,2009,(19).

[3] 高泓.浅论网络信息资源管理[J].南昌高专学报,2009,(5).

网络安全管理的总结篇4

关键词:一体化;安全域;信息安全

1.引言:

随着全国信息化建设的发展和消防信息化的深入,消防业务应用系统数量和提供服务的用户数不断增加,同时,公安部消防局统一开发的一体化消防业务信息系统逐步在各总队深入推广应用,因此,为保障总队信息系统的稳定可靠运行,总队在部局规划指导下,开展一体化信息系统信息安全保障项目建设,构建设计动态积极安全防御体系,保障全局一体化业务系统稳定可靠地运行。

2.系统特点

一体化消防业务信息系统是公安部消防局根据十一五期间信息化建设项目总体实施方案统一规划设计,根据整体业务进行需求分析研发的信息系统,系统实现了纵贯部局,总队,支队,大队,中队各级,横跨各业务部门的信息资源共享,互联互通。系统以基础数据及公众服务两大平台为建设核心,包含灭火救援指挥系统,消防监督管理系统,部队管理系统,公众服务平台,综合统计分析信息系统五大业务系统。并针对一体化业务平台,提供二次开发接口,保证和其他业务信息系统的衔接。系统采用面向服务的SOA的设计理念,最终实现音频,视频,数据的综合集成,使一体化业务系统能实现互联互通互操作。

系统建设主要依托“金盾工程”,利用“金盾工程”的现有公安网基础网络和信息资源,按照网络应用环境不同,分为公安信息网(以下简称“公安网”)应用系统、互联网应用系统、公安网与互联网同步应用系统。公安网应用系统是指仅在公安网上运行的消防业务信息系统,互联网应用系统是指在非公安网运行的消防业务信息系统。公安网与互联网同步应用系统是指同时在公安网和非公安网开展业务应用、并且相互间有数据交换要求的消防业务信息系统。

根据部局的一体化系统建设指导方案和系统设计架构,总队结合当前实际情况,对一体化消防业务信息系统暂采用混合部署模式,即整个总队的一体化业务系统的应用及服务均部署于总队信息中心,由总队统一规划,统一管理,开展一体化消防业务信息系统体系建设。

3. 系统信息安全管理体系设计

为保证一体化消防业务信息系统的高可用性和高可控性,总队按照武警消防部队信息化建设总体方案的要求,对全总队网络信息安全设备配备及部署进行统一规划、设计,购买相应设备,利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全管理体系。

3.1总队信息安全管理体系安全域划分

由于总队内部计算机数量众多,并涉及到公安网,互联网以及政务网多个网络的应用,为便于管理和控制网络广播风暴的发生,应根据计算机所属部门、物理位置、重要性的不同,把局域网划分为多个虚拟子网(VLAN1…VLANn)。根据各VLAN间的安全访问级别不同,实现各VLAN间的安全访问控制。

根据各类软硬件设备提供应用的范围、面向的用户群以及影响面、重要性的不同,站在全局的高度,合理划分安全域,确定安全需求和访问控制策略、安全硬件部署策略。

总队安全域划分:

(1)核心业务处理区:涉及一体化消防业务信息系统中的部分业务系统。该安全域中的业务系统支持本地内网的业务应用,无需与外部实体进行数据或业务的交互。

(2)119接处警系统区:涉及119接处警系统所有应用服务器、数据库服务器、数字录音仪、接处警终端以及其它附属设备。本区域设备支撑119报警的受理、处置、调度、反馈以及灾后数据分析等全流程业务应用,为全内网应用。总队119接处警系统将与一体化消防业务信息系统的灭火救援系统开发数据接口。

(3)特殊业务受理区:涉及一体化消防业务信息系统中部分业务系统,主要是面向移动终端的业务接入,包括灭火救援、消防监督的业务受理系统,特殊业务受理区的受理服务器可以将受理的业务数据“摆渡”到业务处理区进行处理,在得到处理区服务器的反馈后,再将反馈信息回传到移动终端上,完成整个业务处理流程。

(4)特殊业务处理区:涉及灭火救援指挥、消防监督的业务处理系统,实时处理由业务受理平台“摆渡”过来的数据,在处理后反馈给特殊业务受理区的受理服务器。

(5)内网终端区:由内网中的办公终端组成,内网终端区用户可以访问网络中授权访问的业务系统。

(6)内网管理区:将内网中的各类管理服务器置于内网管理中,集中进行安全策略的定制、下发,集中监控各类系统运行状态。主要包括设备管理、终端管理、防病毒管理等。内网管理区由内网中具备相应管理权限的管理员来访问。

3.2信息安全保障体系构成

总队信息系统安全保障技术体系由物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理构成。其中,安全基础支撑为物理安全、网络安全、计算环境安全和数据安全提供支持,安全管理为整个安全保障体系提供全面的管理。

安全基础支撑主要涉及总队一体化系统中的身份认证与授权系统,包括服务器计算机硬件设备以及安全认证网关设备。通过部署身份认证与授权系统及安全认证网关于核心业务处理区,确保总队认证服务及CA系统正常运行,利用数字证书登录访问一体化消防业务信息系统的模式,加强一体化系统的访问控制安全,提高一体化系统的安全级别,是整个系统的基础和支撑,是实现总队信息系统安全保障的共性设施。

数据安全包括数据库入侵检测系统、数据库访问控制系统、数据库审计系统、数据容灾备份系统等,用于保障消防信息系统中的所有数据库安全。

总队通过在涉及到一体化消防业务信息系统的业务区对一体化业务系统数据库部署磁盘阵列以及硬盘自备份和移动存储备份方式,设置全量备份,增量备份策略,执行方式为日备份,周备份,月备份以及临时应急备份,确保一体化系统的数据安全可靠。同时通过部署数据库入侵监测及审计系统,加强系统的数据库安全,确保数据库无故障和稳定运行 。在核心业务信息系统和需要重点保护的信息系统中部署数据审计系统,实时监控数据库各种账户的数据库操作行为(如插入、删除、更新、用户自定义操作等),从而降低数据库安全风险,保护数据库安全。

网络安全包括隔离防火墙、网络入侵检测设备、信息内容审计监控等设备,主要在各级区域网络互连的边界位置进行安全防护和访问控制,对进出网络的数据进行实时的检测与访问控制,以发现异常流量,并进行分析、阻断和报告。

根据安全域划分,总队在各安全域间部署防火墙,并在防火墙上设置相应策略,实现安全域间的访问控制。在核心交换机上部署网络安全审计系统,在网络边界部署一台入侵防护系统,实现对外部流入数据的监测,一旦发现入侵行为及时报警并依据策略进行阻断。同时利用IPS系统的恶意代码防护模块对网络出口处的数据进行恶意代码防护。在核心交换机上利用入侵检测系统针对所要监控流量端口做镜像,实现对流经核心交换机的流量进行监测,一旦发现入侵行为或恶意行为,及时进行报警。

计算环境安全:通过公安网一机两用监控系统以及互联网一机两用监控两套终端安全管理监测系统对安全域内的终端设备进行监测管理及系统补丁集中分发工作,结合部署在公安网和互联网上的防病毒软件系统服务器进行集中控制和病毒防控升级工作,对部署在总队局域网的计算机终端、服务器、及其运行的应用系统进行安全防护。

物理安全包含环境安全,设备安全,介质安全三个方面。通过信息中心机房的门禁系统、防雷设施、防火设施、稳压UPS电源,机房温、湿度监控系统及LED显示,声光报警等多种手段及措施,构筑我总队一体化消防业务信息系统的物理安全防护体系。

安全管理主要指综合安全管理中心,通过集中的安全管理,保障整个安全系统在统一的安全策略指导下运作,通过制定统一的安全管理协议、安全管理接口规范和安全管理数据格式,实现对用户、设备、事件的统一集中管理,实现信息系统中各类安全设备的统一管理,安全服务的实时监控和安全审计,并提供安全策略的实施和维护。

目前,总队通过部署NCC网络监控和BCC业务系监控平台,对安全域的网络设备以及各业务服务器应用,数据库等设置阀值和策略,进行集中管理,通过NCC和BCC进行每日巡检。下一步将通过COSS管理平台并平台的二次开发接口,拟对一体化系统的深入推广应用进行全方位监控管理。

3.3信息安全管理体系应急预案制定演练

信息安全管理体系建设的最终目标是保障一体化业务的正常稳定运行,各类防护措施的应用最大程度的降低了安全风险,但由于各种新的病毒、黑客技术层出不穷,制订完善的应急预案,确保系统遭受安全攻击后的可恢复性就成了系统防御的最后保障。

在应急预案中,应明确从单机故障到全网络瘫痪、从影响个人办公到全单位业务乃至造成重大社会影响的不同级别网络安全事件的定义,逐一制订对应的技术措施和管理、处置、上报机制,明确每一个步骤的责任人、责任单位。在应急预案制订完成后,必须通过至少两到三次的不同级别、层级安全事件应急处置演练进行检验,查找缺陷,完善不足,同时根据单位信息系统建设、应用的发展和网络设备的更新不断进行调整,确保应急预案的最后保障作用。

4.结束语

通过安全技术措施及各类软硬件设备组合构筑一体化消防业务信息系统信息安全管理体系,确保系统稳定运行。但安全事故很多时候不是因为技术原因造成的,二是人们没有认识到信息安全,以至于忽视了安全流程或者躲避技术控制措施,对于各类与外网逻辑隔离或物理隔离的专用网络(如公安网)来说,其源自于内部的网络安全威胁比例更高。因此,建立健全单位内部网络安全管理制度,加强网络安全教育,提升内部人员的信息安全意识就成为了增强内部网络安全管理水平的首选措施。

总队在加强信息化建设过程中必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将消防信息系统中的各种安全保密产品进行集成,并加强对涉密人员的管理,形成完整的安全管理体系。同时将各类网路安全技术手段和硬件设备进行有机组合,充分发挥各自的技术特长,以物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理六大模块构成一体化信息安全保障管理体系,并辅之以具有高度可行性和可操作性的应急预案和规范的运维机制,做到网络不断,业务不瘫,数据不丢。

参考文献:

网络安全管理的总结篇5

关键词:高速铁路;防灾安全监控系统;CAN

Abstract:Through the analysis of hierarchical structure of the disaster prevention and safety monitoring system of high speed railway, this paper discussed the networking scheme of the network management and the network of the disaster prevention and safety monitoring system of high speed railway, and then proposed one kind of system networking basing on the CAN bus .

Key words: high speed railway; disaster prevention and safety monitoring system; Controller Area Network(CAN)

中图分类号:U238 文献标识码:A 文章编号:

防灾安全监控系统作为铁路信息系统的一个子系统,其功能是对各种危及高速铁路运行的自然、事故灾害进行监测、报警,提供经处理后的灾害预警信息,为综合调度中心运行计划调度、下达行车管制、抢险救援和维护维修作依据,保证列车安全正点、高效舒适。防灾安全监控系统由风监测系统、雨量及洪水监测系统、地震监测系统、轨温监测系统、突发事故异物侵限及非法入侵防护系统组成。本文从系统的硬件和网络构成入手,探讨系统的组网方案。

一、系统层次结构

高速铁路防灾安全监控系统包含两个层次的网络,上层网络为管理网,下层网络为现场网。

1、管理网

高速铁路防灾安全监控系统是一个广域互连的计算机网络,需要将防灾安全监控的车站、区间、工区、变电所等局域网和调度中心局域网通过数据网或TDM电路互连。

管理网以主监控中心和区域监控中心为主的二级网络。其作为防灾安全监控系统的上层网络,负责收集、汇聚下层现场网络数据,对数据进行处理、产生告警等信息,将信息传至综合调度中心,并在综合调度中心信息共享,进行系统联动和控制;同时负责接收、转发综合调度中心下达的维修防护、抢险救援指令,并控制下层设备网络的相关动作。

2、现场网

现场网主要由监控点、传感器、控制器、执行器等现场设备组成,是一个原始数据采集的底层网络。根据监测地点的不同,现场设备可以设置于车站、工区、区间、无人值守机房、变电所等。

现场网主要负责采集现场原始数据,上传至网管理网;同时根据管理网下传的指令进行相应动作,并维护自身的稳定运行。

二、系统方案设计

1、设计原则

(1)充分利用铁路数据网和传输网基础资源,构建铁路防灾安全监控系统信息网。

(2)充分考虑系统的实时性,数据上传、指令下达所经过的节点不应太多。

(3)各现场子系统的资源应能有效共享,尽量构建在统一的监测平台上。

(4)各子系统应能适应铁路沿线的恶劣环境,在灾害降临时,底层设备应能不受干扰的、有效、可靠的运行,单监测点的失效应不影响整个系统的运行。

2、组网方式

(1)管理网

主监控中心一般为综合调度中心。设置各类服务器、数据库、协议转换设备、网络设备及各种监控终端等,实现其接收、处理、存储各类信息,输出告警、共享数据及指令下发、转发等功能,并完成与外部其它系统的接口互联。主监控中心网络结构如下图所示:

主监控中心局组网图

区域监控中心一般为综合维修工区。通过设置各种接入、处理设备,将现场监控点数据进行汇聚并上传至主监控中心。区域监控中心的组网如下图所示:

区域监控中心组网图

(2)现场网

监控点位于车站、区间、变电所等。监控点接收现场设备采集的监测数据、对数据进行正确性分析、告警判断,并对现场设备进行直接管理。监控点可输出实时告警信息,对于需要综合历史数据、联动其它系统进行分析计算才能确定的信息,则上传至上级监控中心进行处理。监控点是管理网与现场网的连接部分,并具备直接管理现场设备的功能,是整个系统设计成败的关键所在。

监控点的核心是连接管理网和现场网的网关设备。该设备主要实现以下功能:

 接受现场数据,并对数据进行正确性分析

 与上级监控中心的通信功能

 告警判断功能

 实时告警数据的暂存功能

 设备自检、故障告警功能

该设备主要提供以下接口:

 与现场采集设备的接口(总线接口或其它)

 与监控终端(后台设备)的本地、或远程网络接口(RJ45或其它)

 网络管理接口(RJ45或RS232)

 与上级监控中心的网络接口(E1或其它)

为保证监控点的可靠性,网关设备宜采用双机热备的工作方式。监控点组网如下图所示:

监控点组网图

底层设备包括传感器、控制器、执行器等,是防灾安全监控系统的基础设施。底层设备的组网方式灵活多样,借鉴工业控制领域现场总线的成功运用经验,在此提出基于CAN(Controller Area Network)现场总线组建防灾安全监控系统监测网络的方案。

CAN总线具备多主工作方式、无站址通信、带优先权的总裁技术、短帧传送、出错及故障监测等技术特点,能较好的解决信息传输的实时性、可靠性和准确性;其总线组网方式能将各子系统有机的整合;尤其适用于节点多而分散、实时性要求高、现场环境干扰大的铁路防灾安全监控系统。

以铁路各车站、变电所、无人值守机房及区间的风、雨洪水、轨温、火灾、地震、异物侵限及非法入侵监测传感器,门禁、消防控制器、执行器为底层网络节点,以CAN总线组建底层网络。CAN总线网上位机作为作监控点与底层设备之间的网关,监控点工作人员通过后台设备查询现场监测数据及设备运行状态,控制机通过铁路数据网或专用TDM电路上传至上级监控中心。

底层CAN总线网络工作原理为:CAN总线设置为主从式工作,CAN上位机负责监控各个从机(CAN节点),向从机指令,并接收、处理从机传来的监测数据,输出告警;从机执行主机的指令,向主机传送监测数据或控制部件动作;由于通信信号传输到导线的端点时会发生反射,而且反射信号会干扰正常信号的传输,因此,总线两端应接有终端电阻,以消除反射信号,其阻值应当与传输电缆的特性阻抗大致相当。底层设备网络如下图所示:

基于CAN的防灾安全监控系统结构图

基于CAN总线设计的监测系统有较高的使用价值,而且价格低廉、可靠性高。同时系统还具有高可扩展性,在需要多通道采集的情况下只需添加少量的采集模块即可;组网方式灵活,铁路沿线车站、区间、车站房屋、通信信号机房等需要监控的的点都可挂接在CAN总线上;还可将AD、DA、开关量、计数器、控制器等模块进行集成,形成通用数据采集模块,进一步减少现场设备。

三、结语

本文通过分析高速铁路防灾安全监控系统的管理网、现场网的网络结构,给出一种适合的组网方案,其结论可为高速铁路防灾安全监控系统组网方案提供借鉴。

参考文献:

[1]Bosch公司 CAN 协议规范 V2.0版本.

[3]雷森.现场总线控制网络技术[M].电子工业出版社.

[4]史久根,张培仁,陈真勇.CAN现场总线系统设计技术[M].国防工业出版社.

网络安全管理的总结篇6

何谓轻结构的网络?WatchGuard中国区技术总监曾剑隽认为,轻结构的理念包括网络部署、IT资产管理和扩展等多方面的内涵:“在网络部署上,将网络结构简化,只需网络层、安全层两套设备和一个无线AP设备即可满足企业用户所有的网络和安全部署的应用需求。网络安全设备自动上线,升级管理便捷。在资产管理上,轻结构化指通过软件的形式提供更多网络安全服务,实现轻资产化,保护企业的IT投入。”

“IT建设给企业带来的压力越来越大,不但要购买防火墙、IPS、防病毒、无线控制器等各种硬件产品,还得购买管理软件,甚至需要对管理软件进行二次开发。”WatchGuard中国区市场总监万熠认为,企业对IT设备的投入变得越来越谨慎,正在呈现出轻资产化的趋势,因此安全解决方案必须帮助用户最大化IT资产的收益。“通过一个多功能的硬件盒子,WatchGuard可以提供二到七层的网络安全防护,再加上无线客户端AP的接入,能基本满足企业对所有的设备和业务的安全保护需求。企业购买WatchGuard的服务之后,不必再操心设备的形态,WatchGuard用轻结构的解决方案,帮助用户解决问题。”

当前,软件定义IT已经成为业界趋势,通过软件的升级来实现产品功能的升级和完善,具有灵活性和低成本的特点。在网络安全领域,这一趋势也日趋明显。轻结构化的网络安全解决方案就是这一趋势的具体表现。曾剑隽强调,轻结构化网络安全解决方案注重硬件的高性能。“WatchGuard每个系列的产品都力图做到在业界性能最高,当企业随着业务的增长需要扩展IT能力时,企业只需要升级软件即可,无需再购买硬件产品。”曾剑隽介绍说,当企业购买WatchGuard某一系列的中低档产品之后,需要升级到高端产品时,也不必购买硬件,只需升级软件即可。

在轻结构网络安全理念下,WatchGuard了一系列软硬件一体化的产品,WatchGuard无线安全解决方案就是典型的代表。“以往企业部署网络时,需要为了IPS、AV、反病毒、邮件过滤等多种功能单独购买多个硬件产品,不但成本高,而且管理复杂。”曾剑隽表示,WatchGuard提供轻结构化的无线安全解决方案,利用一套设备就可满足用户几乎所有需求,同时为了便于管理,WatchGuard管理服务器设备可以支持用户自由地部署和管理在异地部署的WatchGuard防火墙设备。曾剑隽表示:“通过无线AP设备的管理和控制功能,企业可以通过单一的窗口管理所有的防火墙和无线设备,达到安全接入和控制的目的,同时通过异地管理形成统一报表。”

网络安全管理的总结篇7

关键词:网络管理,集中式网络管理,分布式网络管理,Corba

中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 15-0000-02

1 引言

计算机网络的迅猛发展,极大地推动了人类社会的发展,对人们的日常生活、学习、工作等各个方面都产生了巨大影响,计算机网络的应用已经广泛地渗透于全球的每个角落,为用户提供资源共享、交流、监控、通讯及信息传播等服务。但网络的快速发展在不断地发挥其优势和潜力的同时,其庞大的体系和错综复杂的结构也给网络的有效管理带来了极大的挑战。由于人类社会对网络的依赖度越来越大,网络在运行中出现的问题,可能会带来灾难性后果。因此,保证网络健康运行的管理技术,逐渐受到人们的重视。

按照体系的结构划分,可以将网络管理分为集中式网络管理技术和分布式网络管理技术。集中式网络管理技术具有结构简单、操作方便、成本低及透明性好的优点,但存在着大量缺陷:

(1)所有信息都通过中心站(中心网络服务器)对整个网络进行信息收集、分析和处理,容易产生通信瓶颈;

(2)中心站负荷太重,影响运行速度;

(3)各站点操作程序预先设定,功能固定,难以实现大规模扩展。由于网络规模的爆炸性发展,集中式网络管理暴露出的灵活性差、可扩展性差、可靠性差等方面的问题,越来越明显,已经不能满足故障诊断、计费、资源配置及安全管理等功能需求。为了克服集中式网络管理的困境,可以将管理工作分散到整个系统中进行分布处理,再将处理结果汇总,即网络管理工作按照一定的结构分拨给各个管理子站,分布式网络管理应运而生。

2 分布式网络管理的体系结构

传统的集中式管理模式,中心站处于网络的中心位置,负责对整个网络进行统一控制和管理,中心站与网元节点进行相关信息交换,定期向网元节点发送查询信息,一旦中心站失效,将引起整个网络瘫痪。这样的体系机构必将导致风险集中。

分布式网络管理将复杂的网络管理任务划分为若干子管理域,网络管理任务由中心服务器转移到一个或多个远程工作站,每个子工作站负责一个域,各子工作站可以进行信息交换。分布式网络管理通常采用层次式管理,通过引入子工作站以达到减轻顶层中心服务器负担的目的,每个子工作站承担一个子网域的管理任务,并构建一个相应的管理信息库。在运行工程中,每个子网域的信息库记录本网内的运行状态和数据信息,在通过通信汇总到中心服务器的信息库中。在这样的体系结构下,中心服务器仅负责各资管理站的协调和控制,消除了通信瓶颈,提高了可靠性,更易于扩展。一个典型的分布式网络管理结构如图1所示。

3 分布式网络管理的支撑技术——Corba

Corba是一种面向对象的体系,它为分布式异构网络环境下各类应用系统的集成管理提供了一种通用的技术规范和标准,使用Corba协议来管理不同的被管资源。Corba协议支持一个统一的、开放式的网络管理系统,独立于供应商,任何网络设备、操作系统、编程语言及网络环境下的基于Corba的应用,均能协同工作,并实现大规模扩展。各子工作站通过统一的Corba协议来实现对不同网络设备的故障、性能、安全性及配置的管理功能,然后通过中间件与中心服务器产生连接。

基于Corba的网络管理系统是目前应用最广的分布式网管系统。Corba的核心是一套标准化的协议、语言和接口,是由对象管理组织提出的关于对象技术和软件结构的一种技术性规范,支持易购分布应用程序的互操作及独立于语言和软件平台对象的重用。其特点为:

(1)软件系统采用面向对象的设计方法,对象的内部特征被完整封装,仅保留对象的外部接口;

(2)利用中间件作为事务,提出业务请求,使客户与服务方隔离,客户无需了解服务过程;

(3)使用软件总线技术,任何语言开发的管理软件只要满足接口规范,都可以在系统中实现集成。

Corba系统引入对象请求,即中间件,来接收客户机的服务请求。中间件接到请求后,分配能够实现服务的对象,利用相应处理方法,传递服务参数,待处理结束后返回结果。基于Corba的网络管理系统,为每一个分布于不同节点的对象提供总线及总线服务,此类总线不是通常意义上的硬件总线,而是软件总线,更直观的说是总线机制,只要各对象按照接口标准提出服务要求,并在总线上,就可以实现各对象间的互操作。通常客户可以利用Corba对系统进行管理,实现完整的网络管理系统,并访问被管理的资源,也可定义被管理对象,获得分布式和软件编程的简化,而被管理对象仍使用现有模型,从而可以充分发挥网络管理模型在管理信息定义和通信协议方面的优势。其结构如图2所示。

与集中式管理模式相比,基于Corba技术的分布式网络模型采用一个管理者管理一个局部域的管理模式,分散了网络管理的负荷,也分散了管理的风险,且同级之间可以相互通信,不需要所有任务都必须向上位机通报,降低了网络管理所需的信息流量,避免了网络壅塞。因此,网络管理规模的大小可以按实际需求任意调整,较适合大规模网络系统。但分布式网络管理的结构也存在缺点:很难确定各个管理者的权限,不能严格控制对设备的增删,相对而言安全性难以得到绝对保证。此外,由于Corba定义复杂,不同的供应商对定义的理解差别较大,当系统涉及到多家供应商的时候,接口调试工作比较复杂,且容易出现因为规范理解差别造成的难以发现的问题。

4 总结与展望

随着网络规模的爆炸性扩大,网络管理的复杂性越来越大,适合于大规模网络管理的分布式网络管理模式在实践中得到了极大的发展,已被很多网络管理系统所采用,但也存在着安全性不足等缺陷。最近,智能技术逐步被应用于网络管理,不仅用于性能管理、配置管理、安全管理、故障管理和计费管理领域,而且在壅塞监控、容量配给、路由选择以及网络设计等多个方面得到广泛应用。可以预见,未来网络管理会向跨平台、交互化、分布式、智能化、面向对象、灵活性好、可扩展性好和可维护性好的方向发展。

参考文献:

[1]刘芳,赵磊.分布式网络管理技术的研究[J].科技创新导报,2010,5

网络安全管理的总结篇8

互联网迅速发展的同时,网络安全问题日益成为人们关注的焦点,病毒、恶意攻击、非法访问等都容易影响网络的正常运行,多种网络防御技术被综合应用到网络安全管理体系中,流量监控系统便是其中一种分析网络状况的有效方法,它从数据包流量分析角度,通过实时地收集和监视网络数据包信息,来检查是否有违反安全策略的行为和网络工作异常的迹象。

在研究网络数据包捕获、 tcp/ip原理的基础上,采用面向对象的方法进行了需求分析与功能设计。该系统在visualc++6.0环境下进行开发,综合采用了socket-raw、注册表编程和ip助手api等vc编程技术,在系统需求分析的基础上,对主要功能的实现方案和技术细节进行了详细分析与设计,并通过测试,最终实现了数据包捕获、流量监视与统计主要功能,达到了预定要求,为网络管理员了解网络运行状态提供了参考。

关键词:网络管理;数据采集;流量统计;winsock2

1 引言

1.1 课题背景

随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。

1.2 网络安全管理的现状与需求

目前,在网络应用不断深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、vpn、ids、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。从网络安全专业管理人员的角度来说,最直接的需求就是根据分类在统一的界面中监视网络中各种运行性能状态,获取相关数据信息、日志信息和报警信息等,并进行分类汇总、分析和审计;同时完成攻击事件报警、响应等功能。因此,用户的网络管理需要不断健全整体网络安全管理解决方案,从统一安全管理平台总体调控配置到多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、策略管理、审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可用性、可控制性、可管理性。

1.3 网络流量监控的引入

网络安全管理体系中,流量监控和统计分析是整个管理的基础。

流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。而网络流量检测本身也涉及到安全管理方面的内容。

由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或少的依赖于流量信息的获取。因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。它的应用可以在一定程度上检测到入侵攻击,可以有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对应的安全策略与防护措施,从而减少入侵攻击所造成的损失。

1.4 本文的目的与任务

该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对其进行统计,得到主要成分性能指标,结合网络流量的理论,通过统计出的性能指数观察网络状态,分析出网络变化趋势,找出影响网络性能的因素。

本设计题目是教师自拟项目,前期任务主要是设计并完成系统的初步框架,实现网络数据的捕获,并解决相应问题,后期主要是通过一些api函数完成对各类数据信息的统计。

本系统实现以下功能:

(1)采用winsock编写原始套接字socket-raw对数据包进行采集捕获,并可实现分类及自定义范围进行捕获;

(2)对捕获的数据包进行一定的解析;

(3)访问操作系统提供的网络性能参数接口,得到网卡总流量、输入流量和输出流量;

(4)系统提供了多种方式显示结果,如曲线图、列表等;

(5)使用ip帮助api获取网络统计信息;

(6)实现对部分常见威胁的预警,可继续开发扩展其报警功能。

网络安全管理的总结篇9

关键词:国税系统;网络安全;思考

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 19-0000-01

Thinking on Tax System Computer Network Security

Teng Yiping

(Tongji University School of Software,Huaihua419400,China)

Abstract:The tax system is to maintain network security integrity of the state's tax,tax information to ensure the smooth operations of the important factors.To cope with tax returns,sources of revenue management,tax inspectors and tax agents and tax administration reform,service mode,the tax authorities to implement the self-reporting,centralized collection,focusing on inspection,strengthen management,combined with a new computer monitor tax collection mode.Thus,in the new business tax system requirements,the tax authorities starting from their own load building safe and reliable computer networks has important social significance and economic significance.

Keywords:Tax system;Network security;Thinking

近年来,国税系统内部网络建设已经建成了覆盖国家税务总局、省局、市局、县(区)局和农村分局(税务所)的五级计算机广域网;税务系统外部网络也开始逐步与政府信息网、OA平台实现多维度互联。随着计算机网络风险日益增加,如何保证网络安全,是税收信息化改革的重点之一。

一、设计原则

国税系统网络是面向全国各级税务机关和纳税人的多位一体网络,网络设计基于层次化设计原则、开放性设计原则、实用和超前设计原则相结合的思想来完成。合理清晰的网络层次划分和设计可以从根本上保证网络系统的骨干网络建设接入安全、易于病毒隔离、运行稳定。

开放性设计原则保证了网络系统技术符合国标规范,能够获得广泛的硬件支持和软件支持。

实用和超前相结合的原则可以保证服务器采购招标、网络传输线路选型以及网络接口设计等方面从税收工作的实际需求出发,既不盲目投资造成设备浪费也不影响税收信息化工作的顺利进行。

二、总体设计

在网络整体架构设计方面,确定“小核心大”的思想,以骨干网络建设为中心来展开。在设备接入端,各个专业系统的VPN分别应用于不同的网络节点,不同的网络节点平台部署独立的域空间。网络结构为VPN体系结构,网络内部结构透明。在网络拓扑设计方面,各个层面节点之间的网络在逻辑上可实现任意互联,在实际连接方式上完成星状连接。在整体架构上,各个层面网络相互独立,相互透明,为网络安全奠定了基础。在实际的网络层次上,所有的VPN层次平台通过骨干网络来实现叠加,各个VPN接入界面分别与网络的边界重合。

三、设计方案

(一)网络设计

在设计国税系统内部网络时,基于实用与超前设计原则,采用星形拓扑互联的PE路由器与税务总局的服务器互联。这种设计模式既节省了空间,又可以为税收数据进行有效备份和网络的无缝切换提供保障。

(二)路由设计

骨干网络路由设计在组成结构上仅由EP组成,网络内部运行MPLS完成VPN网络设计。数据传输方面,网络的数据包以对等EP路由器的LOOPBACK路由为依据,而被打上相应的MPLS标记。为了达到全网范围内的连接需求,全局网络采用BGP的路由反射器进行网络互联处理,保证数据传输的可靠和安全。

(三)VPN设计

为了防止非法入侵,网络设计过程中,在结构上可为每个VPN每个节点设置一台专属路由器。该路由器通过网络接入各级服务器,指定子网接入端口,实用VALN中继功能。

四、安全控制

在信息时代,国税系统网络安全是关系到国家税收安全的重要因素。为了配合进行纳税申报、税源管理、税务稽查和税务的税收管理与服务模式改革,税务机关推行了自行申报、集中征收、重点稽查、强化管理,并结合微机监控的新型税收征管模式。因此,在新的税收业务需求下,税务机关从自身负载出发建设安全可靠的计算机网络具有重要的社会意义和经济意义。

国税系统网络安全是通过设置用户空间和用户公共路由域进行网络隔离实现的,也就是路由级的隔离。路由隔离技术能够从技术上达到技术加密的标准,还能够有效的降低加密算法带来的延时。基于MPLS的VPN与用户域空间交换第三层信息,使得网络具备手段限制DoS攻击,这与路由设计是类似的。

在国税系统网络运行过程中,要积极采取措施实施入侵检测。入侵检测被认为是防火墙之后的第二道安全闸门,可以与防火墙实现联动,通过收集和分析网络行为、安全日志和其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,以便及时应对,保护网络安全。

同时,在外接口处架设防病毒防火墙,采用专业版的网络防病毒软件,部署好服务器端和客户端的防毒杀毒工作,并严格限制软盘、光盘和U盘等随意在已接入国税系统网络的电脑上使用。

网络安全管理的总结篇10

关键词:网络安全;网络攻击;建设原则

中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0114-01

计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,防火墙应用等,重点针对企业网络中出现的网络安全问题,作了个介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分.

一、网络威胁、风险分析

随着通讯技术和计算机技术的飞速发展,网络正逐步成为当今社会发展的一个主题,其改变着人们的工作方式和生活方式。网络的互连性,开放性,共享性程度的扩大,然而网络的重要性和对社会的影响也越来越大主要是Internet的出现。随着数字货币,电子现金,电子商务和政府上网以及网络银行等网络行为的出现,网络安全的问题变得越来越重要。

(一)其他网络的攻击

据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:

当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。

近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。

计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。

(二)管理及操作人员缺乏安全知识

我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。

现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。

二、网络安全总体设计

据统计,在英国50%的用户口令都是宠物名称,而在全世界销售的150,000套防火墙中有85%的防火墙没有正确的配置,60%的防火墙按缺省设置安装。然而对于系统安全的维护和管理需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,根据实际情况对安全管理产品进行详细地配置,对于企业的策略进行设计和安全管理规范,就算功能再强大的安全产品也会达不到非常好的安全防护作用。

三、安全系统的建设原则

“使入侵者花费不可接受的金钱与时间,并且承受非常高的风险才可以闯入的系统叫做安全系统。我们认为,绝对安全与可靠的信息系统并不存在。然而安全性的增加通常会导致企业费用的增长,这些费用包括系统复杂性增加、系统性能下降、操作与维护成本增加和系统可用性降低等等。安全不是目的而是一个过程。威胁与弱点会随时间变化。然而安全的努力依赖于许多因素,例如新业务应用的实施、职员的调整、安全漏洞和新攻击技术与工具的导入。

参考文献:

[1]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003

[2]高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003