企业网络管理办法范文

时间:2024-04-10 15:50:22

导语:如何才能写好一篇企业网络管理办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

企业网络管理办法

篇1

随着互联网技术的飞速发展,它在推动社会进步的同时,网络安全问题也越来越多的出现在人们的生活当中,企业也同样面临着各种各样的网络威胁。面对这样的局面,企业该如何解决安全威胁问题呢?据此研究企业网络安全体系,从企业网络的特殊性,影响企业网络安全的因素,企业网络安全的管理办法以及防火墙技术的应用几个方面进行阐述,全面研究企业网络安全体系。

关键词:

企业 网络安全 管理办法

近日,日本养老金管理机构因员工操作不当,导致日本养老金系统遭遇网络攻击,上百万份个人信息遭泄露。5月28日,携程旅行官网突然陷入瘫痪。除首页可显示页面,多数频道无法打开。经调查,网络瘫痪是由于携程部分服务器遭到网络攻击所致。面对这种网络攻击越来越多的局面,企业该如何解决安全威胁问题呢?

一、企业网络有哪些特殊性

(一)企业内部网络与外界网络是断开的

企业内部网络形成了一个单独的局域互联网络,并没有与外界网络的接入端。在企业内部网络中,企业网络的接入口都是在企业内部,企业外部人员很难控制企业网络的接入口。因此,通过外界网络基本没有办法连接到企业内网中来。

(二)企业网络对实时性要求很高

尽管企业内部网络主要传递的资料是文字,视频和图像类的资料相对很少,所需的网络流量很小,然而部门会议也会需要传送视频和图像到企业下一级部门或客户,甚至企业需要经常开展视频会议,因此,为了保障信息的高速传输,需要为企业安装高带宽的接入端,以免影响企业信息传输速率,造成不必要的损失。

(三)企业网络的接入口大多数在公司内部

为了使企业网络得到集中管理,一般将企业网络的接入口设在公司内部,以确保企业网络接入端被其他公司或个人非法侵入。(四)企业网络一旦出现问题必将造成不可挽回的后果在企业网络中,如果出现服务器被黑客攻击的状况,企业网络常常出现瘫痪的状况,进而造成断网等现象,严重的还会出现信息外流,给公司带来严重的后果。从以上分析比较可知,尽管互联网与企业网络原理一样,结构上却存在较大的差异,也正是依据企业网络的特殊性可知,企业网络大多是安全的,那么,它又存在哪些不安全因素呢?

二、影响企业网络安全的因素

(一)企业网络硬件的安全性较差

网络拓扑结构,是指用传输媒体互连各种设备的物理布局,网络的拓扑结构不合理就会为企业网络带来隐患。因此,企业网络拓扑普遍采用服务器通过路由器和防火墙与外网相连。而如果企业员工通过拨号上网,则容易造成公司数据外流。同样,网络中的硬件设备也会成为企业网络中的安全隐患,例如,某企业网络使用一种路由器,该路由器的性能安全性很差。

(二)企业网络软件存在着漏洞

企业网络软件包括很多种,如企业内部使用的操作系统,各种浏览器等,而这些网络软件或多或少都存在一定的安全漏洞。网络黑客也就利用这个安全漏洞进行网络侵入,盗取重要信息,随之而来的给企业带来不可弥补的损失。网络漏洞广泛存在,由于网络服务器是企业网络中的核心,而在企业网络服务器中安装的软件和开放的端口越多,于是也越容易遭到网络攻击。TCP/IP协议往往被软件开发者忽略,网络黑客可以利用网络协议以假IP地址向网络主机发送请求,用以降低主机的工作效率。

(三)企业网络容易面临着计算机病毒与恶意程序

计算机病毒与生物病毒相同,同样可以自我繁殖、互相传染以及激活再生。计算机病毒程序寄生在各种类型的文件中,当文件从网上下载或者通过存储设备传播时,计算机病毒也随之传播。在企业网络中,计算机病毒和恶意程序也容易侵入。对于种类如此繁多且日新月异的计算机病毒,人们并没有一个根本的解决方法。

(四)企业网络时刻面临网络入侵

企业网络同时也面临着网络黑客的入侵,他们通过侵入企业网络主机,从而获取企业重要的信息,给企业带来无可估量的损失。每天,全球200亿人使用互联网,每天全球发生网络攻击2亿次,由此可见,网络入侵成为企业面临的重要问题。

三、企业网络安全管理办法

(一)健全的网络安全制度

为了规范企业职员的行为,企业可针对网络安全建立规范的网络安全管理制度,从而确保网络安全。网络安全管理制度的制定不仅仅要规范企业员工的网络安全行为,同时还要确定违反制度后的相关处罚措施。同时还应指派专门的管理人员根据管理制度检查其实施的效果,从而使网络安全成为企业网络安全的重要保证。

(二)员工要具备网络安全意识

企业员工为网络安全的重要实施者,而使他们具有网络安全意识成为企业网络安全的核心问题。企业可以通过培训、宣传等方式,向企业员工讲解相关事例,让企业员工了解企业网络安全的重要性。同时培训相关企业网络安全常识,包括设置网络密码,发现网络故障,解决简单的网络问题等一系列知识。

(三)网络设备的管理

定期升级网络软件可以提升网络安全性,企业员工必须在指定时间升级网络软件。同时,员工应每人应用专属密码登陆企业网络系统,以确保企业网络安全。这样,大大降低了企业内部资料泄漏的几率。

(四)实施网络分区管理办法

每个企业的网络都是比较繁杂的网络系统,而某个小区域出现的问题都有可能使整个企业网络处于瘫痪状态。因此,对于复杂的企业网络实施分区管理办法是每个大型企业的必然选择。企业可以指派专人负责每个分区,把复杂的系统简单化,责任也分配到个人,从而提升整个系统的安全性和网络管理人员的工作效率。

四、防火墙技术在企业网络安全中的重要应用

(一)防火墙技术的技术基础

1.设计理念

防火墙是将所有外来的网络信息通过指定区域,并对该区域进行保护,从而使企业网络系统更加安全。系统管理员设置网络安全规则,但凡外部侵入信息都要经过安全规则过滤,从而实现对外界访问的控制。而满足网络规则的用户则可以对外网进行访问。防火墙就是将内网与不安全的外网协议和服务隔离,它通常可以是服务器、个人机、主系统等。

2.安全策略

防火墙的安全策略是防火墙的重要基础。它按照如下两个规则制定:规则一:通过防火墙规则的所有访问都被允许访问;规则二:被防火墙规则拒绝的都禁止访问。

(二)企业网络系统中,防火墙的重要效用

篇2

关键词:计算机系统结构IRP;信息优势;主动预防

中图分类号:TP309

企业要生存、发展,就必须面向市场,适应市场、开拓市场,竭力捕捉市场信息。信息对于市场经济条件下的企业来说,具有生死攸关的巨大价值。没有对大量准确、及时、系统的市场信息资料的掌握,既不能弄清企业外部条件变化对企业生产经营的影响,也无法了解企业内部各环节、各部门、各经营要素的状况、联系和变化。而在同行业之间的信息互通,也是至关重要的,将所有资源充分整合,才能形成综合优势。

中国加入WTO后,国际竞争国内化的趋势将更加明显。企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。这里特别要指出企业如何规划有关信息。信息资源规划(Information Resource Planning,简称IRP)是指对企业生产经营所需要的信息,从采集、处理、传输到使用的全面规划。在企业的生产经营活动中,无时无刻不充满着信息的产生、流动及使用。美国信息资源管理学家霍顿(F.W.Horton)和马钱德(D.A.Marchand)等人指出:信息资源(Information Resources)与人、财、物资源一样,都是企业的重要资源。目前,许多企业都已经认识到信息资源规划的重要性,认识到它是企业信息化建设的基础工程。只有做好信息资源规划工作,才能理清并规范企业的真正需求,贯彻信息化建设的“应用主导”方针;才能消除因缺乏信息资源管理基础标准而产生的“信息孤岛”,从而整合信息资源,实现应用系统集成;才能指导SCM、ERP、CRM等应用软件的选型并保证成功实施;才能应用规划的结果来保护我们所珍视的信息。应该说信息资源规划是我们要提供安全策略的前提。[1]

图1是信息安全技术发展的四个阶段,当我们整合了相关信息资源,历经信息安全技术的各个阶段,所缺少的元素便是对于人的信息化水平的要求。

可见,单从信息流向来看,其中的人为干预是必不可少的。因此,保障信息安全更要以人为本,注重网络管理,加强制度化,形成标准的操作规范及流程。针对企业信息化安全问题,内容应当包括:网络集成应用系统(包括信息源、信息传输网络的安全)、企业人员信息技术安全(如信息决策者、使用者)、网络管理人员信息化安全(涵盖了网络管理、权限分配等安全管理内容)。企业信息化安全的解决应在立足于人员管理的基础上,致力于整个企业网络的管理,并以此为目标规划与建设安全、实用、高效的信息环境,为企业信息化带动企业管理现代化保驾护航,推动企业的高速度、可持续发展。

1 网络集成应用系统安全

本人所在单位的网络集成应用系统是一个复杂体系,不可能精确地估计防御对象的规模与价值,无法简单地对其加以标定界限,只有将网络管理安全保障工作分解,落实到人,采取主动防御方式、方法才是上策。众说周知,网络安全信息防御是一个以保证信息整体安全的可预见性、灵敏性、可靠性和连续性为目标的工作,在面对网络信息空间遭受可能的灾难时,我们站在网络管理者的角度应可以提供可靠的安全保障,同时作为各个信息安全的参与者能够主动进行预见性的操作。

因此,现代信息技术发展所提出的信息安全问题,比传统信息安全问题更加错综复杂,涉及因素和领域也更加广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人作为主角的主动型安全防御。[2]

2 企业人员信息技术安全

企业信息化离不开人的参与,同样企业信息化所带来的安全问题也离不开人的关注。“企业注重人才,人才注重管理。”当我们把员工培养成适应企业快速发展、掌握信息技术的人才后,更需要加强信息安全管理,提高计算机应用水平。因为“信息”是企业的重要财富,这一点是勿庸置疑的。信息系统的非安全因素有可能来自外部(以病毒、黑客攻击的方式),或来自单位内部(来自同事、受信任的客户等等所有接触系统的人),工作人员出于好奇心可能会造成更大的威胁。[3]

上面的管理办法便是从技术角度加强了人员的权限设置,其实最主要的人员信息化安全管理,还是对于配套制度的执行。目前,有关企业信息化标准的争论有很多,这种标准会随着技术手段和管理要求的不断发展而变化。面对变化,企业出台针对本企业安全级别的管理办法,结合自身需求进行安全管理才是“以人为本”的上策。

3 网络管理人员信息技术安全

信息技术安全是企业信息化安全管理的重中之重,这就给网管人员提出了更高的更全面的要求。在实际的网络管理过程中,网络管理应具有的功能非常广泛,包括了很多方面。本人认为,针对我们所面临的企业信息技术安全,网络管理应包括四大功能:配置管理、性能管理、故障管理、安全管理。这四大功能是网络管理的基本功能。事实上,网络管理还应该包括其他一些功能,比如网络规划、网络操作规范等。其中:

配置管理:自动发现网络拓扑结构,构造和维护网络系统的配置。监测网络被管对象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系统,对于配置的一致性进行严格的检验。

故障管理;过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。

性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。同时,统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进一步规划与调整提供依据。

安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。控制对网络资源的访问。

举例来说,本人所在单位为尽量减小安全上的漏洞,我们配置管理采用了 VLAN方式,即各个部门划分为不同的虚拟网段,没有权限的用户无法访问其他网段。

VLAN(虚拟局域网)就是一个计算机网络,其中的计算机好像是被同一网线连接在一起,而实际上它们可能分处于局域网的不同区域。VLAN更多的是通过软件而非硬件来实现,因此这使得它具有很高的灵活性。VLAN的一个主要特性就是提供了更多的管理控制,减少了相对日常管理开销,提供了更大的配置灵活性。VLAN的这些特性包括:①当用户从一个地点移动到另一个地点时,简化了配置操作和过程修改;②当网络阻塞时,可以重新调节流量分布;③提供流量与广播行为的详细报告,同时统计VLAN逻辑区域的规模与组成;④提供根据实际情况在VLAN中增加和减少用户的灵活性。

还有就是:我们的网络管理可以通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外来的攻击;通过告警事件的分析处理,以发现正在进行的可能的攻击;通过安全漏洞检擒来发现存在的安全隐患,以防患于未然。当然,我们这些操作手段可以借助于相应的网络管理软件,以提供给我们相关的技术保障。但在实际操作中,我也发现,单用一种软件是无法实现的。比如IDS、基于SNMP技术的网络拓扑、资产管理等等,这些技术需要我们一步步加强。还有像加强域的管理,充分利用现有软件的功能,都是提高我们网络管理的方式、方法,而这些工作地展开都要基于网管人员的素质和计算机应用水平。

综上所述,不论是从网络集成应用系统框架,还是人员信息化以及网络管理者自身来看,企业信息化安全重在网络管理,而网络管理的核心是人,是整个信息化安全的参与者,只有“硬制度、软管理”相互依托,主动预防、预见网络不安全因素,让所有参与者都意识到网络安全管理对于企业信息安全的重要性,才是我们网络管理的最终目的和有效保障。

参考文献:

[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.

[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.

[3]侯炳辉,郝宏志.企业信息管理师[M].北京:机械工业出版社,2005(02):76-89.

篇3

在一些企业中普遍存在着各种各样的网络管理问题:

1、重建设投入轻管理维护。在进行企业信息系本论文由整理提供统建设中,一些企业存在着误区,他们对机房、计算机、网络通信设备等硬件舍得花钱投入,有时甚至达到非名牌、国外品牌不买,而对于网络管理和系统维护往往重视不够。“重建设轻管理”几乎是MIS(管理信息系统)建设的通病了。在某超市企业整洁敞亮的计算机房里,服务器、工作站、交换机、路由器、Hub摆放有序,但是一谈到网络管理,技术主管却大倒苦水:以前只有几台计算机搞搞进销存、人事、工资等前后台管理,随着企业的发展,开始建设LAN,联入网络的计算机越来越多,网络所承载的业务量也越来越大,发生故障的机率也越来越高,现在,原来的管理办法已经很难满足需求了。针对上述情况,我们认为:必须加大软件的投入,引入高效率的网络管理手段。

2、网络管理工作的深层次思考。顾名思义,网络管理就是管理好网络,确保网络的畅通。但现在面临的情况是:企业的高度信息化,使企业的绝大部分业务流程如EDI、ERP、CRM等都在网上进行。这就对网管部门提出了更高的要求,不仅仅是保证网络的连通就可以,还应有全局的目光,提供高附加值的网络应用服务,包括提高网络的“业务快速提供能力”、“业务质量保障能力”和“运行维护管理的低成本运作能力”,以适应和满足业务的开展。有位网络管理员曾这样向我介绍他的工作:就是保证网络通信是可靠的,能及时响应网络故障,解决问题,安装一些服务器端共享软件等。从他说的话可以看出,在重视技术服务的同时,缺少与业务的沟通,缺少对业务流程的监管。而现代网络管理的目标就是体现业务的规则。

3、网络管理工作要变被动为主动。以“问题本论文由整理提供驱动”、“出现问题后再解决”的被动工作方法,是很难适应一些需要及时响应业务的企业的要求。市场竞争要求网络部门的工作要从被动维护向为业务部门、为市场主动服务转变,网络服务质量要从内部测评考核向真正的用户感受转变。网络部门要围绕公司经营决策和业务发展,加强网络运行分析,开展网络延伸服务,为市场策略的制订和调整提供有效的支持。围绕业务部门的需求,分析网络服务存在的问题,确定网络优化的重点,采取一系列改进网络服务的措施。随着业务的迅速发展,系统的运行环境也相应的发生改变,新问题会不断出现,这就要及时引入智能化管理的手段,如Cabletron的Spectrum,可以管理所有基于SNMP的网络设备,实现网络分析、智能故障预警,在网络层面解决服务工作中出现的这些新问题。网络管理工作还要开展网络信息流量的监控和分析,及时掌握公司采用的新业务策略的效果,为公司调整策略提供支持。可以说通过网络管理为企业发掘新的商业机会,这些工作是信息化经济时代,企业开展电子商务对网络管理的要求。

4、不兼容带来的网络孤岛现象。首先出于商业原因,硬件设备厂商对网络管理信息中的私有部分进行相互信息封锁,使得各自提供的设备管理工具和网络管理平台,对竞争厂商的设备管理能力一般都比较弱,如果选用了不同的硬件设备厂商的产品,就不得不配置多个相互独立的网络管理系统,这就不可避免地造成了网络管理系统之间出现孤岛的现象。

另外,在现实中,各个企业的网络结构也不尽相本论文由整理提供同。它们或许是一个几乎没有远程办公的小型的LAN;或许是以FDDI(或ATM)为主干,以太网、TokenRing、无线网,并有远程访问,甚至建有WEB站点的混合结构;或许是一个分布式环境,该环境中有许多运行于各种平台的client/server(客户机/服务器)应用,甚至是一个集中式与分布式相结合的混合环境。企业所开展关键业务流程如EDI(电子数据交换),要求供应链上的上、下游厂商的网络必须互联互通,但是因为彼此采用不兼容的硬件设备和网络环境,所造成的孤岛效应是可能存在的,已经严重影响网络系统对业务支持的能力,造成企业的业务处理、管理控制和战略管理不能很好地与外界沟通,也使企业在MIS的投资上产生浪费。实现网络管理是一个渐进的过程,而且需要不菲的代价,目前解决管理孤岛的最佳途径就是引入全面的网络管理系统NMS,对构成企业IT环境的所有资源实施端对端的可靠管理,简而言之,就是以现有企业IT资源为中心,对复杂的异构环境同时使用LAN管理系统和企业管理系统。

二、面向业务的全面网络管理系统

NMSNMS就是为网络装置提供的典型功能进行统一管理,可根据各自的面向对象和管理性能将其分为三类:第一类是简单系统。这些系统是针对具体问题的针对性解决方案,包括一些较为简单的产品,如pcAnywhere,或者也可能是一些管理用户特定资产的系统,如Oracle数据库。就单个系统来说,它们都很有价值,完全可以解决具体问题,且成本不高。

本论文由整理提供

第二类是LAN管理系统。这些系统提供范围较广的功能性,它包括网络管理系统和系统管理系统。这类管理系统的产品包括HP''''sOpenView、Novell''''sManageWi本论文由整理提供se和Microsoft''''sSystemsManagementSuits(SMS)。对拥有小型网络的公司所需的LAN管理方面,HP''''sOpenView在大多数方面超过SMS和Novell''''sManagewise,特别在集成性、可扩展性、问题管理和自动检测上得到用户的首肯。

第三类是企业管理系统。这类系统的典型代表是IBM''''sNetView和Cabletron''''sSpectrum.这些管理系统能在统一管理平台上实现包括企业应用管理在内的网络、操作系统、数据库等多方面的管理。

在企业信息化的今天,网络是企业的重要组成部分,可以说网络就是业务。如何使网络更好地服务于业务也是人们面临的一个新的挑战。全面的网络管理方案能够帮助企业确保网络与服务的可用性,减低网络维护和运行成本,增添新的业务机会,以及增强企业的竞争力等等,使网络真正成为全面服务于业务的网络。

三、企业网络管理中的商业价值

一般来说,企业在网络管理方面的投入将为企业带来多方面的回报,包括网络的高可用性、IT的投资回报率(ROI)及拥有成本(TCO)、企业的高附加值等方面。这也就是网络管理的价值。

1、网络的高可用性。网络的可用性是指网络不间本论文由整理提供断运行的能力。高可用性可能意味着每周7天、每天24小时的持续操作。一方面要求网络设备本身具有高可靠性(以平均无故障时间来衡量),另一方面从网络管理入手,来实现一个高可用性的网络。网络的高可用性(包括应用和服务的可用性)对企业业务的影响是十分显着的,需要及时响应业务的企业,必须要确保网络高可用性。网络不可用引起的业务损失在不同的企业会有所不同。一般地,实效性越强、业务越关键的系统,停机所带来的损失越大,例如超市前台收银,后台管理系统、银行ATM系统、证券电子商务系统、旅客定票系统等。评估网络可用性对业务的影响可以用一个简单的公式来计算:网络不可用造成的损失=(全年网络非正常时间/企业全年作业时间)×企业全年收入例如,一个年营业收入为3000万的公司,其网络可用性为98%,即非正常时间占全年营业时间的2%,那么每年因为网络不可用造成的损失约为2%×3000万元=60万元。

2、IT的投资回报率及总体拥有成本。在中国的信息化过程当中,很多企业需要别人的经验,需要了解信息化的先进管理思想。大多数企业已经知道网络能够给他们的企业带来利润,但是上一个适合企业的IT系统到底要花多少钱?市场上众多的IT产品到底哪些最好?选择的IT系统好用吗?什么是功能全的IT系统?价格怎样考虑?他们心里没有底,他们需要一个好用又买得起的IT系统。归根结底,他们是要合理、经济地控制好IT投资,尤其是在投资中控制好总拥有成本。解决这个问题的关键是要建立一个经济评估机制,对各种存储方法做投资回报率(ROI)和总体拥有成本评估。

绝大多数企业上信息系统时都是这样花钱:信息化的最初需求不是企业级的,大多数公司都是从部门做起,比如,财务要进行电算化,仓库需要管理等,因而最初的本论文由整理提供需求是面向功能的。但是这种起步自然而然就会产生信息孤岛,怎么办?开发接口。这样一来,跨部门的业务成本提高了,产生的结果似乎是用了信息系统后,不但没有省钱反而花钱更多了。这就是没有认真考虑总拥有成本的结果。

企业究竟该如何投资?购买信息系统的钱应该花在什么地方?很多人认为购置一个信息系统,大部分钱应该花在购置硬件平台、软件、咨询、实施和服务上。而根据总拥有成本的概念,购买软件、硬件、咨询服务的投入,只占整个投资的32%,而更多的费用投入在系统的网络管理、技术支持和培训方面。按照上述观点建设的企业级信息系统,可以在良好的总拥有成本下获得最大的投资回报率。

另外,IT的投资回报率也与网络管理人员的工作效率有关。高效率的网络管理系统,可以提高网络管理人员的工作效率,减少他们用于“救火”的时间,使他们可以有更多的时间做其他的事情。

篇4

一、信息为源,创建网站管理的“总枢纽”

信息是一个企业网站建设的关键。建站之初,我们按照“统一规划,协同建设,分级管理,资源共享”的原则,着重加强网络信息管理,努力发挥信息服务领导、服务基层、服务机关的作用。

创建中心辐射的集群管理模式。以渤海钻探主页为中心,26个机关部室和23个基层单位为支撑,构建了依托中心、辐射全局的网络管理格局。抓住“渤海钻探”这个网站群中的核心站点,采取信息统一报送、栏目协同共建等方式,整合内部资源,实现了信息全面共享、技术全面合作,形成了管好一站、带动全局的良性运转机制。实践证明,中心辐射的集群管理模式,有利于网络信息和网站建设技术的集中管理、资源共享、全面交流,有利于网站建设质量和水平的不断提升。

创建总分负责的信息维护模式。设立网络新闻科,安排专职人员负责主网站信息、日常维护和管理;各职能部门和各二级单位负责各自网站的信息,并负责向主网站报送信息。加大了信息更新力度,主网站平均每天更新信息30条以上,使重要信息在第一时间及时,增强了信息的实效性。据统计,目前公司门户日点击率已达万次以上,年累计点击率达200万次以上。实践证明,总分负责的信息维护模式,有效解决了网站信息更新和维护的难题,避免了信息滞后,提高了信息质量和效率。

创建行之有效的考核评价模式。为了确保信息的更新维护工作落到实处,我们专门制订了《网络信息管理办法》,将这项工作纳入考核。通过评比,公司所属各单位对门户重视程度不断增加,对所属网站持续进行改版优化,建设水平有了较大提高。我公司领导高度重视网络信息工作,将其作为上情下达、下情上传、推动工作的重要渠道,对一些重要和有价值的信息,亲自批示,提出要求。公司成立4年来,公司总经理秦永和对70余条信息分别做出批示,极大地提高了各单位上报信息、提高信息质量的积极性。实践证明,考核评价模式的建立,有效调动了基层单位加强网站管理和上报网络信息的积极性,确保了信息的及时更新和各项建设任务的有效落实。

创建严密可靠的安全保障模式。网站安全是网站的生命。在保障网站安全方面我们主要采取了以下措施:一是建立信息安全管理责任制。分别制订了《门户网站信息管理办法》《外部网站管理办法》等规章制度,对信息实施严格审核。主网信息由网络新闻科负责把关;分网信息的采集、和更新,实行单位和专人负责制,确保的信息不;二是加强对网络信息和网络维护工作人员的教育和管理,增强信息安全保密意识。对可能的栏目,实行内部口令,堵塞漏洞;三是构建病毒防护体系,部署网络防病毒软件,从技术层面防范病毒侵扰和黑客攻击。实践证明,网站安全保障模式的建立,有效保障了信息的安全和网站安全运转。

二、应用为本,构建网上办公的“工作站”

应用是网站建设的一项主要功能。为把渤海钻探网站建设成为公司网上办事的“工作站”,我们坚持在以下几个方面狠下功夫,不断扩大网络办公范围,提高工作效率和管控能力。

加大网络办公力度,推进办公信息化。开通了财务管理、重点工作、承诺履职等24个管理平台,实现了日常工作的网络化管理。特别是在按照集团公司要求开展网上财务报销、网上公文管理、网上合同管理、网上案件纠纷处置等网上办公业务外,我们还增设了生产经营、钻井数据、市场排行等管理平台。各级管理、技术人员可以通过网络对施工现场实施动态监测,组织专家进行网上“会诊”,有效提高了管理效率。

建设互动平台,督促重点工作落实。依托网络媒介,积极搭建公司领导与职能部门之间、与基层单位之间互动管理平台,设立了“政务督查”“安全督查”等专栏,实现了重点工作的交流“互动”与督促落实。

加强技术支持,实现协同办公。为持续提高网站建设水平,专门成立了“门户建设与完善”协同工作站,建立门户组,定期组织人员进行门户技术讨论交流,及时推广新技术和好经验。充分利用门户系统资源,深入开发自定义列表、高级WEB控件等特色门户应用功能,协同制作开发了HSE承诺履职、安全督查等特色栏目,为办公业务电子化提供了有力支撑。在“市场排行”“强达争”专题等栏目中应用XML等新技术,有效地减少了维护人员的工作量。开通了电子邮件系统、即时通讯系统,提高了工作效率,减少了成本支出。

三、服务为基,打造企业形象的“展示台”

一个企业网站建设得好不好,版式的设计、页面的美观和功能的强大十分重要。建站之初我们就把公司网站作为对外宣传和形象展示的有效载体,努力为广大浏览者提供“一站式”“自”“全天候”的服务。

精心设计版面。在找准定位、明确建网宗旨的基础上,精心策划搞好网站版面的设计。在规划总体结构、设计栏目方面,我们坚持网站标识、动态图片突出钻探特色;页面设计庄重、大方,栏目名称清晰、直观,各级栏目之间层次分明;信息方便查询和维护。目前,我公司主网站设立了8个大类35个具体栏目。通过不断丰富服务、精选栏目,满足了公司对外形象展示的需要。

做精特色专题。为集中推动工作,营造舆论氛围,公司围绕不同时期重点工作,先后制作特色专题80余个,有效促进了各项工作的开展。特别是公司每年突出一条主线,制作一个统领全年工作的专题,如2009年制作了“保增长、渡难关、促发展”专题;2010年制作了“五大战役”专题;2011年制作了“六大工程”专题;2012年制作了“六建设六提升”专题,安排专人每天进行信息维护和更新,年终进行考核评比,为保障年度任务目标的完成营造了良好舆论氛围,有效推动了各项工作的开展。

设立服务专栏。为完善个性化服务,调整信息服务结构,让浏览者使用更简单,信息获取更方便,我们开辟了电子公文协同工作站、计算机病毒防御与安全等21个服务栏目,其中专业英语水平考试参考、在线翻译、腾讯通和VPN管理办法及使用说明等,为英语与计算机爱好者提供了学习的平台;链接了手机、学历、列车时刻、IP地址、违章处罚等查询网站,努力为浏览者提供方便快捷的服务;与30个石油石化企业、4家商务网站和中国石油报等6家石油期刊网站建立了链接,方便了浏览者快速查询各类信息。

篇5

关键词:计算机网络;安全;常用技术;解决措施

中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)06-0053-02

1 计算机网络安全

随着计算机技术和Internet技术的扩展和普及,计算机网络在人们的学习、工作和生活诸方面都产生了巨大作用,人们对计算机网络的依赖性越来越凸显。而由于计算机网络在联结形式的多样性和终端分布不均匀性,加上网络自身的开放性、互连性等特征,使得无论是在局域网还是广域网中,都存在诸多的网络安全威胁。数据丢失、系统被破坏、机密被盗等问题日益增多,病毒传输扩散、黑客恶意攻击、网络违法犯罪等事件频频出现,“熊猫烧香”,“金猪拜年”等事件,企业单位计算机系统瘫痪、机密文件被盗,隐私泄露等不时存在,计算机网络安全成为亟待解决的问题。

计算机网络安全技术是指通过各种网络管理控制和技术措施,使网络系统保持正常运行,确保数据在网络环境中的可使用性、保密性及完整性[1]。计算机网络安全包括四个方面的内容,即操作系统安全、物理安全、逻辑安全和网络传输安全。而从广义看,只要是涉及到计算机网络上保障信息的保密性、完整性、可用性、真实性和可控性等的技术都应属于计算机网络安全技术问题。计算机网络安全技术是由病毒防范、防火墙等安全组件组成,单个的组件无法确保网络信息的安全。计算机网络安全技术主要包括防火墙技术、数据加密、入侵检测、身份认证、病毒防护查杀和虚拟专用网等方面。目前防火墙技术、数据加密技术、PKI技术等已广泛应用到计算机网络安全防护中,发展已较为成熟。

2 常用的计算机网络安全技术

早期仅通过网络边界控制和检查流径信息的方法不足以保证计算机网络安全,需要我们利用各种技术措施和控制管理办法共同保证网络信息安全,今天,快速发展和普遍应用的计算机网络安全技术主要包括:网络入侵检测技术、网络安全扫描技术、网络加密技术、防火墙技术、身份验证技术和网络防病毒技术等。

2.1 网络入侵安全检测

网络入侵安全检测是指在网络边界端监视并在可能的时候,阻止网络另一端试图控制或破坏你的系统以及网络资源的行径。入侵检测有两类:一类是网络入侵检测系统,它置于网络边界,靠近网络程序监测网络流量信息,并判断是否正常和提示是否阻止;另一类主机入侵检测系统,它运行在被监测的程序之上,用以监测和判断计算机中正在运行的系统程序是否合法。网络人侵检测技术也称为网络实时监控技术,一旦检测系统发现正在运行的进程或网络流量上的信息有被攻击的迹象,便马上作出反应,例如弹出提示窗口访问用户、断开网络连接,或通知防火墙系统过滤人侵的数据包和对方位控制策略进行调整等。

2.2 网络安全扫描技术

网络安全扫描技术是通过对网络的扫描与防火墙、入侵检测系统互相配合的重要网络安全技术。网络管理员通过网络安全扫描能够根据扫描的结果及时发现网络安全漏洞和系统错误,防范黑客的进攻。通过应用网络安全扫描技术,无论是对局域网络、Web站点还是在主机操作系统,防火墙系统的安全漏洞都可以进行安全扫描,系统管理员能及时了解和掌握各种不安全的网络信息和服务程序,以及可能导致拒绝服务攻击的恶意攻击和安全漏洞。

2.3 网络防火墙技术

防火墙技术 网络防火墙技术指软件或与硬件设备组合而成的,主要用来加强网络与外部网络之间访问的检查控制,以及限制和防止外界用户以非法手段进入内部网络使用内部网络资源,并能够保护内部网络环境信息安全的网络互联技术。防火墙能过滤不安全的服务,防火墙系统能够隔离内部网络与Internet,以及内部网络不同网段,防火墙可以记录下所有通过它的访问,当这些访问发生不正常动作时,防火墙会做出适当的报警,防止内部网络的信息外泄。网络防火墙对网络之间传输的数据包,如按照定义的安全策略来检查网络链接方式,以判断网络之间的连接通信是否合法和被允许,并实时监视网络运行状态。近年来如入侵检测、安全扫描等各种网络安全技术得到发展应用,但目前,防火墙系统是计算机网络安全技术中最常用、实用的技术。

2.4 网络防病毒技术及应用

计算机在强大互联网络环境下,防范网络病毒问题显得非常重要。网络病毒破坏力很大,而且很难恢复遭病毒破坏过的网络,甚至使计算机瘫痪。防范网络病毒,目前主要有三种方法,其一,基于网络目录和文件安全性方法。根据不同的计算机和目录及文件操作能力,设置访问权限和属性,保护公用目录中的系统和文件的的修改权和管理权,防止病毒感染;其二,采用工作站防病毒芯片。这种方法将有防病毒功能的芯片安装在网络工作站上,以便事实防护工作站及其进出路径;其三,基于服务器的防毒技术。服务器是整个网络的核心,目前的NLM技术以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒能力,其目的都是为保护服务器,使服务器不被感染。

2.5 身份认证技术

身份认证是用户向系统证明身份同时系统对用户查核身份的过程,属于安全管理机制,身份认证分为基于密码、基于地址的认证,智能卡认证,双因素身份认证,生物特征身份认证等。身份认证协议是基于TCP/IP的Internet的安全认证协议。身份认证过程中,Kerberos通过网络对称密钥加密算法,产生计算机网络中访问和通信双方有效身份认证。Kerberos技术目前得到广泛推广应用于Internet和Intranet服务的安全访问,在网络安全保护技术中具有高度的安全性、透明性、和可靠性等优点。

2.6 数据加密技术

开放的网络环境下,网络数据加密技术比较灵活,主要用于动态信息的保护,分为对称加密和非对称加密。在实际应用中,有常规密码和公钥密码,数字签名(Digital Signature)技术应用公开密钥加密技术,将发送方的私有密钥加密报文,并与原始信息混合成为数字签名,发送后需要接收方解密来确认发送方。通过数字签名能够确保报文发送的完整性和权威性,以及实现对报文的验证,广泛应用于银行、电子商务等;数字证书主要用以证实用户身份证实和网络访问权限,由CA机构发行,人们可以用这个证书来识别网络用户的身份;近年来PKI技术利用数字公钥加密技术,是电子商务、电子中相对安全的技术,能够解决网络信息机密性、真实性、存取控制性、完整性、不可否认性的问题,是电子商务、电子政务、电子事物的密码技术的首选。网络数字加密技术目前网络安全技术中最有效的技术之一,技术水平要求高,一个被加密的网络,可以有效防范病毒和恶意软件的攻击,也可以防止网络非法搭线窃听和非法入网。

2.7 虚拟局域网(ULAN)和虚拟专用网(VPN)

VLAN(Virtual Local Area Network)和VPN(Virtnal Private Network)技术分别在局域网和公共网络建立一个逻辑上的独立的物理子网。VLAN能够防止基于网络入侵的监听。VPN 技术基于IP协议,在Internet上可以建立PVPNo VPN保证网络中使用虚拟专用网来机密通信。他们都广泛适用于企业网络信息安全管理。

3 计算机网络安全技术存在的问题及解决措施

3.1 计算机网络安全技术存在的问题

操作系统自身管理的模块或程序如果存在问题,而外部网络连接到有缺陷的模块,会导致计算机系统瘫痪;操作系统支持在线传送文件、加载或安装程序,如果这些文件和程序在编写过程中出现漏洞,同样会导致系统崩溃;操作系统不安全的另一个原因是支持某个进程的远程创建和激活,有可能导致在远程服务端被安装“间谍”软件。而目前普遍使用的操作系统包括Unix服务器、NT服务器及Windows桌面PC等也存在有网络安全漏洞。TCP/IP协议具有脆弱性,协议设计之初的网络环境与现在相比没有存在如此多的网络威胁。除此之外,还存在的问题有网络硬件的配置不协调、网络结构的不安全性、管理制度不健全、用户缺乏安全意识等问题。

3.2 解决计算机网络安全的措施

①建立健全计算机网络安全管理政策法规和制度。只有有法可依,有度可循,计算机网络安全才能有根本保障。

②做好实际中计算机网络安全技术的需求分析。只有明确网络安全保证的需求,才能建立发展有效地管理制度和控制技术。

③制定网络安全防范策略,增强用户信息安全保护意识。

④改善现有的网络安全体系,完善和加强网络加密等技术,建立专业的网络安全服务机构,提供可靠的身份证明和网络安全预警。

⑤加强安全管理队伍的建设,实时维护和核查计算机网络安全。无论在什么样的环境下,绝对的网络安全是不存在的,因此,必须对现有网络进行严格的安全管理和网络安全核查。

4 结 语

计算机网络安全技术在各个方面和领域已经有了较成熟的发展和应用,但在目前的计算机网络环境下,网络安全仍然不容乐观,保证计算机网络安全,需要技术、设备、管理和制度等多方面共同努力,形成系统的有效的保证计算机网络安全的制度。从计算机网络安全的技术层面讲,还有艰巨的任务,防火墙的局限性、操作系统的缺陷和不安全、TCP/IP协议的脆弱等,在各项技术突破和发展的同时,只有将入侵检测、安全扫描、病毒防范、防火墙、网络加密等技术综合应用到计算机网络安全防护中,才能使网络系统保持正常运行,确保数据在网络环境中的可使用性、保密性及完整性。

参考文献:

[1] 刘云志.浅析计算机网络安全技术及其存在的问题[J].系统安全,2012,(20):73-74.

[2] 何勇,谌昌强.计算机网络安全与安全技术[J].信阳农业高等专科学校学报,2007,17(3):128-129.

[3] 郭敏.关于计算机网络安全技术的思考[J].网络技术,2012,(5):55-57.

篇6

关键词:油田,车辆安全管理,模式

Abstract: with the oil use is increasing day by day, oil field work of further expand the business scope, oil field traffic safety accident occurs frequently, and this makes the oil field traffic under unprecedented pressure. This paper, combined with the practice, puts forward the innovation oilfield safety management mode of thinking vehicles, to improve and optimize oilfield vehicle safety management to provide the reference.

Keywords: oilfield, vehicle safety management, model

中图分类号:TE346 文献标识码:A文章编号:

0.引言

随着石油使用量的日趋增加,油田工作业务范围的进一步扩大,油田的交通安全事故时有发生,这使得油田交通面临前所未有的压力。本文结合实践,提出了创新油田车辆安全管理模式的思路,为提高和优化油田车辆安全管理提供了借鉴。

1、油田监控系统的使用

社会的进步,带来了科技的飞速发展。像其他给社会带来重大影响的发明一样,监控系统的出现,为社会带来了一次新的技术革命,各大机关、企业、事业、学校、公共场所等纷纷安装监控,以对该区域形成一种有效管理,监控当初被普目遍使用的最大目的就是用于监视,以防止偷盗等的违法犯罪的发生,从而对其进行有效遏制,监控在整个社会得到了广泛的应用。但随着人们对监控系统的进一步认识,监控不仅能有效减少偷盗等违法犯罪的发生,还被用于进行车辆管理,用于取证工作,为交通安全管理提供了一种新型有效的管理模式,同时为车辆安全管理部门提供了一种有效和管理手段。而办公自动化系统与车载(GPS)的信息共享为车辆安全管理部门监控车辆安全行驶提供了切实可行的查询方法。新的管理模式的在车辆安全管理部门的应用具有重要的现实意义,我们对其研究的目的是更好地使其为油田车辆安全管理服务。

目前油田车辆多、流量大、难管理,还有部分油田运输车辆在晚上实施运输作业,安全隐患难以避免,油田的特殊情况使得油田车辆急需规范管理,而传统的像抽查、检查等交通安全管理办法,受天气情况、人为因素等的影响较大,解决这个问题的途径是采用监控及车载GPS,这不仅有效节约人力,更能从根本上减少人为因素的影响,为一些工作的公平、公正奠定了良好的基础。再者,监控不仅不受自然因素的影响,还能提供对车辆的实时监控以及全程监控,对于习惯性违章行为、超速等违规行为以及交通事故及肇事逃逸等行为都无一遗漏地进行监控,这种做法的实施,在心理上约束驾驶员尽可能地不违规开车,以减少交通安全事故的发生,其次监控的使用能为交通安全取证提供真实的依据。

2、车载GPS在车辆安全管理中的应用

2.1车载GPS是全球卫星定位技术,我们结合有着丰富的通讯网络资源的有利条件,建成了一个实时高效、定位准确、运行稳定的车辆管理平台来对车辆进行有效的监控管理。油田通信GPS管理系统可以用浏览器或软件进行登录,油田下属分公司也可通过企业网或互联网登录服务器,实现部分管理功能。通过专门的监控机器,还可以接收到辖区全部车辆上传实数据,通过服务器还可以对下属公司的账户及管理权限进行更改。服务器由油田通信部门负责管理和维护,相应软件的维护和升级也由他人完成,这不仅保证了服务器的正常运行,也使软件得到及时的升级。

2.2在监控主机上,不同级别的用户具有不同的使用用权限,用户所能实现的管理功能,包括车辆各种信息的管理,统计报表的生成,修改、添加账户,同时还可以实现安全监控,调度通知、轨迹查询,智能监控等。通过该网络管理方式,用户使用互联网自行完成。并且可实时选择车辆对其位置进行监控。

另外,该系统还可进行安全报警提示管理。如超速报警、紧急报警、越界报警等,在油田根据GPS管理系统要求,为油田车辆划定了行驶区,当车辆驶离规定区域,系统可进行报警提示。根并据油田的地理、地势特点,对于不同区域制订不同的限速标准,车辆行驶过程中如果出现了超速行驶现象,系统也会进行的报警提示,这一系列措施的开展,为车辆安全管理提供了可供参考的现实依据,为油田车辆安全管理作出了巨大的贡献。

2.3该系统可以读取车辆行驶里程数,然后根据耗油量进行数据分析,最终核算车辆的营运成本,通过分析车辆的营运成本,运输户可以充分掌握车辆的运输成本,从而通采取相应措施降低营运成本,获取最大收益,从而实现车辆的经济运行,从中赚取更多的利润。

2.4该系统通过办公自动化与车载GPS信息共享实现车辆审批功能。在油田车辆管理实际中,可以实现用车审批的起草、复核、审批、接收签名、签收动态监控、多级转发、打印等多种功能。在功能实现的具体过程中,具有严格的权限控制,具有不同权限的管理人员具有不同的文件处理功能,管理人员权限是系统管理员根据使用系统人员的使用需求而设置的,当然这种设置可以修改。审批文件的信息根据不同的等级进行,当然,以不同身份登录的人可的信息完全等级不同,这要根据管理人员的权利进行设置。系统流程灵活,用户可以根据实际情况对文件的批阅以及传输流程进行设定。管理员可以通过办公自动化系统实现对GPS系统的自动登录。通过办公自动化系统可以对用户进行授权,得到授权的用户,可直接由办公自动化系统进入到GPS系统,GPS这种人性化的设计,既能满足不同用户有使用权限设置,又方便了领导进行车辆的实时查询,为油田车辆安全管理工作带来了很大的方便。在办公自动化系统里可以实现节假日用车审批、路单审批、长途车审批、雪天行车审批等功能,审批完成后将审批结果写入数据库设置的临时表里,GPS通过数据库自动读取办公自动化车辆审批结果信息,根据所读到的结果信息将未经审批出车的车辆信息放在出车信息平台报警提示,这种管理方式,能够帮助管理部门及时、准确地掌握车辆信息,有效监督车辆的安全、合法行驶,为油田车辆安全管理奠定了良好的基础。

3、办公自动化与车载GPS信息共享管理理论

目前,随着车辆数量的急剧增加,车辆调度管理问题成为摆在人们面前的一个重要问题。车辆的增加,必然存在车辆流动性的增加问题,另外也由于机动车辆本身危险性会给公司带来一定的麻烦和的损失以及可能由此引发的事故。由于传统管理模式的存在,使得一些钻管理的漏洞,出私车现象时有发生,这不仅在耗油上和保养上给公司带来了损失,如果出现事故,还会对油田造成不好的影响。而办公自动化与车载GPS信息共享,可以有效解决这种矛盾,管理人员可以随时了解在办公自动化违章信息界面自动生成的车辆日报,了解相关的信息,同时这种做法也减少了工作部门的工作量。公司的GPS车辆监控管理系统与办公自动化信息共享有效帮助管理者实现了车辆实时监控,避免人为管理障碍,为实现油田交通安全管理的创新实践提供了新的思路。

参考文献

[1] 万智民,张益民.现代油田企业安全与环保标准体系[J].当代石油石化,2006(14):32~35

[2] 陈立海,申晓莉.谈油田HSE体系管理[J].安全,2009(3):34~36.

[3]单明敬,张永红,魏英杰,陈小新,王凌冰.油田作业安全管理常见问题及对策[J].安全与环境工程,2009(1):85~87.

篇7

本毕业设计(论文)、学位论文作者愿意遵守浙江科技学院  关于保留、使用学位论文的管理办法及规定,允许毕业设计(论文)、学位论文被查阅。本人授权 浙江科技学院 可以将毕业设计(论文)、学位论文的全部或部分内容编入有关数据库在校园网内传播,可以采用影印、缩印或扫描等复制手段保存、汇编毕业设计(论文)、学位论文。

(保密的学位论文在解密后适用本授权书)

 

 

论文作者签名:                                                                     导师签名:

 

签字日期:      年    月    日                                        签字日期:      年     月    日

 

 

内 容 摘  要

本文针对浙江广播电视集团网络,以及集团网络安全的建设、改造提出了相应的解决方案,并且从网络和网络安全两个主要方面进行了相关的阐述。首先,对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后,对集团中的计算机网络、以及网络安全的现状进行调查研究。其次,针对浙江广播电视集团的网络现状进行了详细的需求分析。最后,提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后,有助于提高其计算机网络系统的可靠性、以及网络的安全性。

关键词:网络系统,数据安全,网络安全,局域网

ABSTRACT

The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG.  The project is helpful to improve the reliability of network and the safety of Internet.

KEYWORDS:network system,data security, network security,LAN

 

目 录

第一章   引言 1

第一节 选题背景与意义 1

第二节 集团网络安全发展与现状 1

第三节 网络安全相关技术介绍 2

第二章   集团网络安全系统概况及风险分析 4

第一节 集团网络机房环境 4

第二节 网络应用数据备份 4

第三节 网络安全弱点分析 5

第四节 网络安全风险分析 6

第三章   集团网络安全需求与安全目标 7

第一节 网络安全需求分析 7

第二节 网络安全目标 7

第四章   集团网络安全解决方案设计 9

第一节 网络监控管理系统 9

第二节 电子邮件安全解决方案 9

第三节 远程数据传输的加密 10

第四节 服务器的安全防护 11

第五节 计算机病毒防护的加强 14

第六节 网络攻击及防护演示效果图 15

第五章 结束语 17

参考文献 18

致  谢 19

 

第一章   引言

第一节 选题背景与意义

随着互联网的普及度越来越高,全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁,使得网络安全问题日益突出,信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷,如何防止网络攻击,保障各项业务的顺利进行,为广大用户提供一个安全的网络环境变得尤为重要。

本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际解决方案。在实施了本方案之后,有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁,计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础之上,再采用先进的技术和产品,构造全方位的防御机制,使系统在最理想的状态下运行。

第二节 集团网络安全发展与现状

 

图1-1网络拓扑图

浙江广播电视集团作为省级广电传媒集团,现有计算机网络于2002年10月建成,在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展,网络应用的不断深入,应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络,远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输,整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出,安全日益成为影响网络效能的重要问题,而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时,对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施,但因为网络复杂性的逐步提高,网络中存在隐患的可能性以及由此产生的危害性也大大提高,因此在网络系统的进一步建设过程中,及时查清网络隐患的必要性就体现了出来。

第三节 网络安全相关技术介绍

要保证计算机网络系统的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。

一、防火墙技术

为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可已被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流,确认其来源及去处, 检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:数据包过滤、监测型、服务器等几大类型。

二、数据加密技术

与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之 一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

三、认证技术

认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接收者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。

四、虚拟专用网络(VPN)技术

虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。

VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。

VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。

五、计算机病毒的防范

首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:

(一)较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、 UNIX和Netware系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查毒、杀毒范围广、能力强的特点。

(二)完善的升级服务。与其它软件相比,防病毒软件更需要不断地更新升级,以查杀层出不穷的计算机病毒。

 

第二章   集团网络安全系统概况及风险分析

第一节 集团网络机房环境

    目前,浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的,只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解,目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑,主要有如下方面:

    一、网络机房都作了可靠的防雷措施,建设有防雷接地网,其接地电阻小于1欧姆;大楼顶部建设有避雷针。

    二、所有从网络机房大楼外接入网络机房的数据信号,全部采用光纤接入。

    三、网络机房内大多配备UPS电源系统。

    四、机房内铺设防静电地板、吊顶,对墙面进行了无尘处理。

    五、安装机房防盗监控系统。

    六、配备机房消防系统和应急照明系统。

    七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电,与楼层内的其它电源系统没有任何连接。

第二节 网络应用数据备份

    在广电集团的计算机网络中大多己经有功能数据备份与恢复系统,它是一套基于磁带介质的备份与恢复系统,有2套文件备份的License和1套Oracle数据库备份的License,进行服务器的文件备份和Oracle数据库的实时备份和恢复。

    浙江广电集团网络中已经有了以下几个网络安全方面的考虑:

    一、病毒防护

    网络中使用了诺顿病毒防护系统,该病毒防御系统是基于网络的病毒防护系统,在网络内能够远程的安装网络客户端的病毒防护软件,进行病毒特征库的自动更新,集中控制和管理。但是,网络中的病毒防护系统没有集中控制和管理的控制台,不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。

    二、外网接入安全防护

网络目前大多没有单独的外网接入点,没有自己的外网接入安全防护,使用统一的出口和安全策略。

三、入侵检测系统

在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1

 

图2-1 广电集团入侵检测系统示意图

第三节 网络安全弱点分析

浙江广电集团网络系统安全弱点主要包括:

一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中,一旦发生硬件的安全问题,将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。

二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台,一旦操作系统被渗透,就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题,动态连接给厂商提供开发空间的同时为黑客开启了方便之门。

三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。

四、网络系统弱点: TCP/IP协议本身的开放性导致网络存在安全隐患。如:TCP/IP 数据通信协议集本身就存在着安全缺点,如:大多数底层协议采用广播方式,网上任何设备均可能窃听到情报; 协议规程中缺乏可靠的对通信双方身份认证手段,无法确定信息包地址真伪导致身份“假冒”可能;由于TCP 连接建立时服务器初始序号的可推测性,使得黑客可以由“后门”进入系统漏洞。

五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。

六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。

七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点,由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制,安全体系设计要求具有良好的可扩展性和动态自适应性。

八、管理弱点: 工具不多,技术水平不高,意识淡薄,人员不到位。

第四节 网络安全风险分析

网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点,增加了广电集团网络系统的安全风险。

    由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性,主要有:

    一、人为因素:

        未经授权访问重要信息

        恶意破坏重要数据

        数据窃取、数据篡改

        利用网络设计和协议漏洞进行网络攻击

        假冒、伪造、欺骗、敲诈、勒索

        内部人员恶意泄露重要的信息

        管理员失职

    二、自然因素:

        设备的老化

        火灾、水灾 (包括供水故障)

        爆炸、烟雾、灰尘

        通风

        供电中断

        电磁辐射、静电

    以上都可能引起设备的失效、损坏,造成线路拥塞和系统瘫痪等。

 

第三章   集团网络安全需求与安全目标

第一节 网络安全需求分析

    为了确保广电集团网络系统的安全,其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。

    从安全管理要求来分析,要考虑政策、法规、制度、管理权限和级别划分、安全培训等,特别要考虑基层人员计算机水平不高,系统设计和培训等方面要周密考虑,制定切实有效的管理制度和运行维护机制。

    从物理安全要求来分析,要根据浙江广电集团实际情况,确定各物理实体的安全级别,建立相应的安全防护机制。

    从系统安全需求来分析,需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安全、系统缺陷、病毒防范等问题。

    从网络安全需求来分析,要考虑系统扫描、入侵检测、设备监控和安全审计等,要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性,拨号线路的保密性和身份鉴别。

    从应用安全和信息安全需求来分析,要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线WAP终端及其它终端设备) 以及其中运行的操作系统的安全可靠。

    因此,广电集团网络系统安全要重点做好以下几方面的工作,同时也是本安全方案的设计需要解决的问题:

    一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题;

    二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改 等所带来的问题;

    三、解决重要信息的备份和系统的病毒防范等问题;

    四、建立系统安全运行所匹配的管理制度和各种规范条例;

    五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题;

    六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。

第二节 网络安全目标

计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内,存在着传输系统的地域分布问题。这些传输通信系统可以是有线的,也可以是无线的。这类传输可以在中途被截获,存在着“中间攻击”的问题。从攻击的手段来看,攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难,网络安全要特别重视防截获,防泄露和信息加密的实施。

    目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。

    网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。

    网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全,概括为确保信息的完整性、保密性、可用性和不可抵赖性。

    信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看;

    信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变;

    信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务;

信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。

    为了更加完整的执行上述网络信息安全的思想,防止来自集团内部局域网上的攻击,又由于浙江广电集团网络连接关系复杂、网络设备多,使用租用的国内的通信线路,存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求:

    1) 防止计算机病毒的蔓延

    集团网络众多的用户,可能由于内部管理上疏忽,装入未经杀毒处理的软

件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等,这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播,将造成网络软硬件设备的损害以至于整个网络系统瘫痪。

    2) 加强网络安全的动态防护

    网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中,使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此,安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段,及时发现网络安全漏洞和各种恶意的攻击手段,及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。

    3) 保障集团内部业务系统的安全稳定

    由于涉及省台与各地方台的视频传输,不可避免的会遇上各种各样的问题,因此,在网络层对业务的安全要保障得力,并且要确认信息传输的安全稳定。

 

第四章   集团网络安全解决方案设计

第一节 网络监控管理系统

由于浙江广电集团的网络建设已有很多年的时间了,其很多网络设备都自带了监控及管理软件或工具,但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题,并且在员工抱怨之前解决问题。

这里对推荐的美国 CA 公司的网络监控管理系统 (Unicenter Network & System Management)所能够达到的功能简单地说明一下:通过 TCP/IP 协议,不需要专门的培训,用户就可以配置该网络监控管理系统,启动网络监视管理功能后,能够监控的网络设备包括工作站、服务器、主机、网桥、路由器、集线器、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时,首先可以通过该软件的网络探查功能,能够全面查看用户网络的底层构件,确认整个网络的体系结构,并以一种可描述可管理的模式定位所有的网络设备,并将这些设备存储起来,迅速绘出网络结构图,同时启动设备的监控,而这些过程都是自动生成的,非常简单易用,可操作性强,这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。

在这个过程中,首先通过该网络监控管理系统 24X7 的全时设备轮询网络监视功能,迅速识别网络元件的任何问题,当监测到问题时,可以不同的颜色显示出来,并以通过手机、e-mail、声音警报通知管理人员,同时根据各网络元件相互之间的依赖关系,自动关闭与 有问题网络元件之后的所有网络元件的连接,减少冗余数据数量,避免冗余通知。此外,还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进行有效的监控管理。

当网络监控管理系统识别网络失效时,在向相关人员发送警报及通知时,该软件还可启动一个程序来定位网络失效。因此,当状况被隔离之后,一个特定的应用程序或者脚本程序就会被执行,或许是重启这个服务或许是重启计算机。这个进程是自动的,因此当相关人员收到设备失效的通知时,相应的措施已经采取了,管理人员不用回到办公室,因为当管理人员在收到通知时已经知道问题己经解决了。

在这一系列监控与管理过程中,网络监控管理系统都能自动生成监控及管理日志,并对系统的使用情况与趋势形成报告,以便用户形成较为完善的系统化管理,提升工作效率。

第二节 电子邮件安全解决方案

解决电子邮件安全问题,我们需要从三个方面来考虑如何应对:

1) 对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵;

2) 对进出邮件系统的所有邮件进行备份,用于监控和备查;

3) 对敏感的邮件内容进行加密传输,防备在传递路径上的恶意窥伺。

对集团来讲,现实的方法是结合现有的成熟技术,组合出一个在经济上和技术上合理的解决方案,同时要保证长期的维保成本。邮件系统的安全解决方案包括如下三个部分:

1、电子邮件安全网关技术方案

通过邮件安全网关的部署,在病毒程序、垃圾邮件等不良信息进入集团邮件系统之前,便对其进行遏制、阻截,从而保证集团电子邮件系统的安全稳定运行,节省邮件系统存储空间,避免机密的泄漏。

在邮件网关硬件系统上整合邮件反病毒引擎,对进入集团邮件系统的电子邮件进行病毒检测,采取邮件隔离、删除以及清除病毒等操作,减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势,定时升级邮件网关病毒库。

2、邮件备份系统技术方案

在集团现有邮件系统的基础上,实现对指定时间内(如最近一年)所有收发邮件的备份,并且管理员根据邮件信息摘要(例如:发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。

3、邮件加密系统技术方案

保护重要电子邮件不被泄密,防止内部人员未经许可将重要电子文档以邮件的方式泄密,防止电子邮件被截取而引起的泄密。保证工作效率,在尽量不改变使用者收发邮件操作习惯的基础上,保证电子邮件正常畅通使用。

考虑到文件安全扩展的需求,除电子邮件之外,信息泄密还有多种途径。在保护邮件安全的基础上,要考虑到日后系统的扩展性。

邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。

第三节 远程数据传输的加密

    建立基于SSL VPN技术加密访问系统,使得从Internet到内部网络的访问使用SSL VPN数据加密通道,保证数据在传输过程中保密性。

    目前能够提供 SSL VPN 加密产品的厂家很多,但是本文认为在SSL VPN技术的先进性、加密传输的速率、以及厂家的技术服务等方面,Juniper的Netscreen SA 1000具有相对的优势,是其它厂家无法比的。

    Juniper 网络公司SSL VPN产品家族的Netscreen-SA 1000系列,使企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准 Web浏览器接入企业网络和应用。NetScreen-SA 1000系列使用SSL作为安全接入传输机制,SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需进行成本高昂的长期维护。NetScreen-SA 1000产品提供先进的合作伙伴喀户外联网特性,以控制用户或用户组的网络访问,无需更改基础设施、无需部署DMZ 、也无需软件。这项功能还允许公司安全接入企业内联网,使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。

    NetScreen-SA 1000系列解决方案的主要特性与优势如下:

    一、端到端分层安全性

    端点客户端、设备、数据和服务器的分层安全性控制,Juniper网络公司 Endpoint Defense Initiative(端点防御计划),用于提供最高的端点安全性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入降低总拥有成本。不需要部署客户端软件或更改服务器,几乎不需要长期维护。从单一平台安全地远程接入内联网和外联网安全的外联网接入,无需构建 DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户简化

    二、可管理性

    (一)集中管理选项提供统一管理

    (二)用户自助服务功能,可降低技术支持服务窗口的支持成本

(三)细粒度的审计和日志记录

(四)3 种不同的接入方法,允许管理员根据具体目的来设置接入权限

    (五)基于角色分配管理任务

三、高可用性

群集对部署选项,可为整个LAN和WAN提供高可用性。

第四节 服务器的安全防护

    一、业务服务器的安全防护

    (一)防火墙的安装

    这里将在Catalyst 4506交换机与服务器群的交换机之间安装一台高性能的防火墙,并根据服务器群中的每台服务器的应用系统的情况,在该防火墙上进行一对一的安全策略配置的工作。

    (二)入侵检测系统的安装

    这里将在服务器群的交换机上配置一个侦听端口,将流经该交换机所有端口的数据包都复制一份传送到侦听端口上;再把入侵检测系统连接到该侦听端口,接收该端口输出的所有数据包,并对这些数据包进行入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。

    二、涉及到的设备选择

(一)防火墙的选择

防火墙的类型主要有:数据包过滤、监测型、服务器等几大类型。

1)包过滤型

包过滤型防火墙是防火墙的较初级产品,其技术基于网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:

 

图4-1包过滤型防火 墙的工作原理

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2)型

型防火墙也能够被称为服务器,它的安全性要高过包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示

 

图4-2型防火墙的工作原理

型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

    本文将选用业界性能较好的、可靠性较高的Juniper 的NetScreen 5200防火墙,该防火墙的技术参数如表4-1

表 4-1 NetScreen 5200 防火墙技术参数表

物性/功能 NetScreen-5200

接口数 2个XFE 1OGigE,或8个Mini-GBIC, 或2个Mini-GBIC+24 10/100

最大吞吐量 1OG 防火墙

5G 3DES/AFS VPN

最多会话数 1,000,000

最多VPN 隧道数 30,000

最多策略数 4000,000

最多虚拟系统数 5

最多虚拟LAN 数 4000

最多安全区域数 默认设置为16个,最多增加1000个

最多虚拟路由器数 默认设置为3个,最多增加500个

支持的高可用性模式 主用/备用

支持的路由协议 OSPF, BGP, RIRV1/V2

深层检测 是

集成/重新定向,Web过滤 是/否

    (二)入侵检测系统的选择

这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2

表4-2 NGIDS-UF 入侵检测系统技术指标表

型号 NGIDS-UF

类别 千兆IDS

规格 2U 机架式

网络接口 1个10/100Base-TX: 2个千兆光纤

2wh 10/100/1000Base-TX

串口 1个RS-232C

第五节 计算机病毒防护的加强

一、在原有的病毒防护系统增加集中管理控制台

新增一台服务器,在上面安装一套诺顿的病毒防护的集中管理控制台。这里将安装该服务器系统和诺顿的集中管理控制的软件系统。

二、增加网络病毒防火墙

在每个楼层交换机的上联端接入一台网络病毒防火墙,对局域网内的病毒进行区域控制:在二级单位广域网入口处安装一台网络病毒防火墙,保障二级单位的广域网线路不会受到病毒数据包的影响。

涉及到的设备选择:

(一)诺顿的防病毒集中管理控制台

只有选用诺顿的集中管理控制软件才能控制和管理诺顿的网络防病毒系统的客户端软件。

(二)网络病毒防火墙

目前有趋势相关的硬件产品出售,并且该产品还能够与诺顿的网络防病毒客户端软件进行联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:

1.执行免的安全策略

网络病毒墙对非兼容设备进行隔离修正,以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免的安全策略可减少管理负荷,并可同时降低被合作伙伴或VPN用户的非兼容设备感染的风险。

2.漏洞隔离

网络病毒墙根据Trend Micro的漏洞评估功能,隔离网络蠕虫可利用的潜在环节,使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施,避免病毒的爆发。网络病毒墙提供漏洞评估服务,并将该功能作为一个可选项。

3.灵活的、集中式管理

网络病毒墙包括趋势科技企业安全管控中心、及一个集中式、基于网络的管理控制台,它根据主机安装永久的需要实施安全更新部署。该服务可以自动部署、或点击管理控制台的选项进行手工部署。

4.网络扫描及侦测

网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用,并基于趋势实验室提供的最新病毒码来自动清除感染的网络数据包。另外,网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控,并提供威胁的早期预警。

5.网络病毒爆发监控

网络病毒墙通过实时监控网络流量或可疑活动来提供早期的威胁预警。并在中心控制台上发出病毒爆发通知,立即提示管理者蠕虫攻击目标、受感染的主机、或具体的受攻击的漏洞。

6.网络病毒爆发防御

网络病毒墙部署了Trend Micro病毒爆发防御服务,通过阻绝任何蠕虫传播组合,包括8地址或地址范围、端口及协议、即时通讯渠道、文件类型扩展名、及文件传递。

7.自动清除损害

网络病毒墙通过隔离感染的网络段、主机、或客户,进行清除及修正,阻止了再次感染。凭借自动、免清除蠕虫(木马)痕迹、及系统文件配置(system.ini)修复功能,Trend Micro的清除损害服务可以防止再次感染,降低清除成本。

第六节 网络攻击及防护演示效果图

 

图4-3网络攻击及防护演示效果图

针对浙江广电集团的网络结构,当出现如下各类情况时解决方案如图4-3所示:

1、 漏洞扫描-识别攻击行为

2、 上传病毒/木马-修复系统漏洞

3、 启用后台服务监听-防病毒软件

4、 远程控制服务器-防火墙入侵检测

5、 攻击业务系统-防火墙、双机容错

6、 破坏系统数据-备份、灾难恢复

7、 客户端中毒-防病毒软件

 

第五章 结束语

计算机网络的可靠性和安全性是在不断地变化的,不同的时期或者阶段对网络的可靠性和安全性方面的要求是不一样的。在网络的建设之初,集团网络关心最多的是网络的连通性,只需要网络能够传送数据即可,对于网络数据的延迟lunwen .1 kejian .com 一以及网络短时间的中断都没有过多的要求:当网络中存在着涉及到集团的关键性应用系统时,就对网络数据的延迟时间、以及网络的中断时间上就有了很高的要求,在一般情况下,为了保障集团应用系统的连续运行,集团网络系统是不允许发生网络中断的。因此,本文在方案的设计中就已经考虑到要符合目前的、以 及将来的网络应用系统的需要,同时本文设计的网络系统的可靠性和安全性可以根据集团网络业务系统的需要进行相关的调整,满足变化之后的网络业务系统的要求。

本方案是一个针对浙江广电集团目前计算机网络现状的网络、及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于集团网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。同时,本方案在设计、以及设备的选型上,己经做了今后扩展的考虑。

本方案并没有解决浙江广电集团计算机网络、以及网络安全方面的所有问题,随着计算机网络、及网络安全的技术不断地发展,以及集团网络应用系统不断地新增,集团业务系统也会对集团的计算机网络系统的结构和网络安全方面提出更高的要求,实现后满足集团实际的需要。

 

【参考文献】

[1] 张国清.CCNP BSCI详解.北京:电子工业出版社,2006.

[2] 拉斯特.网络安全基础[M].北京:中国邮电出版社,2006.

[3] 常晓波.CISCO网络安全.北京:清华大学出版社,2004.

[4] 王达.网管员必读——网络安全.电子工业出版社. 2007.

[5] 《非常掌上宝系列》编委会.数据备份恢复与系统重装一条龙.北京:科学出版社,2005.

[6] 张公忠.现代网络技术教程北京:电子工业出版社,2004.

[7] 飞科研发中心.电脑防毒防黑急救.北京:电子工业出版社,2002

[8] 黄志晖.计算机网络管理与维护全攻略.西安:西安电子科技大学出版社,2004.

[9] 欧阳江林.计算机网络实训教程,北京:电子工业出版社,2004.

[10] 金纯.IEEE802.11无线局域网北京:电子工业出版社,2004

[11] 施裕琴.网络安全的入侵检测系统及发展研究.集团经济研究2006,(27):25-26.

[12] 董凯虹.网络监控管理系统的功能.计算机世界周刊.2006.(4):50-51

[13] 胡越明.Internet技术及其实现.北京:高等教育出版社,2005.

[14] 陈雪著.Windows XP的完善.上海理工大学出版社,2005.8

[15] 麦肯兰勃.网络安全评估.北京:中国电力出版社,2006.

[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.

[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.

[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.

[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.

 

致  谢

在论文完成之际,谨向所有给予我指导、关心、支持和帮助的老师、领导、同学和亲人致以崇高的敬意和深深的感谢!

首先感谢导师顾忠伟老师一直以来对我的学习、工作和生活所给予的无私关心、悉心指导和严格要求。尤其在论文的完成阶段,得到顾老师的耐心指导和严格把关。顾老师严谨的治学态度、求实的工作作风、平易近人的处世风范都深深影响了我。在此谨向顾老师表示最衷心的感谢和最诚挚的敬意!

感谢浙江广电集团科技管理部计算机科的同事,他们结合自己多年的计算机系统与网络安全的相关经验,给我提出了很多宝贵的建lunwen .1 kejian .com 一和对我实习中的帮助。在论文完成之际,在此特向各位同事表示深深的谢意!

在论文的材料收集期间,得到了负责集团网络工作的蒋老师的大力支持,他根据自己多年实际工作的经验,为我的论文写作、改进工作提出了许多有价值的宝贵建议,在此对蒋老师表示感谢!

感谢经济管理学院的各位老师、同学在学习工作等诸方面的支持和帮助,这一切使我在学习期间深受教益。

最后,深深地感谢我的家人旦他们在生活和学业上给了我无私的关怀,为了支持我的学业,付出了莫大牺牲。惟乞此文能够回报这些无比的关心和厚爱!