时间:2023-05-24 08:52:18
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全规划与设计,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
1.1网络存储技术安全
对于一个企业来说,网络存储数据的安全性是极其重要的一个工作内容,一旦重要的数据被损坏或者丢失,便会对企业日常生产、运作造成重大的影响,甚至是会产生无法估计和难以弥补的损失,故计算机系统不是永远可靠的,单单依靠双机热备份、磁盘阵列、磁盘镜像、数据库软件的自动复制等备份功能已经远远解决不了网络安全的问题,所以,计算机网络需要有完整的数据存储模式。目前的存储模式有直接连接存储模式(DirectAttachedStorage,DAS)、网络存储模式(NetworkAttachedStorage,NAS)、存储区域网络(StorageAreaNetwork,SAN)。
在网络规划、设计及实施方面侧重于网络安全性的方案选取,包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密等等方面,充分发挥网络安全性的原则。
2网络安全管理策略
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
2.1网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
2.2网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
2.3网络安全策略的设计与实施步骤
(1)确定网络安全需求,确定网络安全需求的范围,评估面临的网络风险;
(2)制订可实现的网络安全策略目标;
(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容;
(4)制订网络安全系统的日常维护计划。
3网络安全防御与改善措施
3.1网络安全防范管理
做好网络安全防范计划于与策略,对网络安全进行防范控制盒管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。网络安全防范措施可以有:
(1)国家信息安全漏洞共享平台;
(2)反网络病毒联盟组织。
3.2建立良好的网络安全机制
目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。在此,我们重点介绍数据加密、入侵检测系统和防火墙技术。
(1)数据加密:该技术更好的实现了信息的保密性,确保了信息在传输及存储过程中不会被其他人获取,它是一种十分有效的网络安全技术措施。因此,为了保障数据的存储和传输安全,需要对一些重要数据进行加密。
(2)入侵检测系统:在系统检测或者可能的情况下,阻止入侵者试图控制自己的系统或者网络资源的行为。入侵检测系统是一种主动保护网络免受攻击的安全技术,从而简化网络管理员的工作,保护网络安全的运行。
(3)防火墙技术:建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,外部网络(通常是Internet,互联网)被认为是不安全和不可信赖的。防火墙技术是一种被动网络安全技术,是目前应用最多的一种网络安全技术,但是,防火墙技术有它的局限性,它假设了网络边界和服务,导致对内部的非法访问难以有效的进行控制。
3.3引入网络安全审计系统
【关键词】通信网络;规划设计;安防工程
影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。
1通信网络的保障方式
通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。
2通信网络的安全需求
信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。
3通信网络安全分析
综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。
4结束语
对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。
作者:李英峰 张志科 单位:广州杰赛科技股份有限公司通信规划设计院
参考文献
[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.
[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.
关键词:通信网络;规划设计;安防工程
影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。
1通信网络的保障方式
通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。
2通信网络的安全需求
信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。
3通信网络安全分析
综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。
4结束语
对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。
参考文献:
[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.
[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.
[3]李克.电力光纤通信网络的规划设计问题探讨[J].信息通信,2016,08:217~218.
一、学校网络与信息安全工作情况
本次检查内容主要包含网络与信息系统安全的管理机构、规章制度、设施设备、网站和信息运行情况、人技防护、队伍建设等5个方面,同时从物理安全差距、网络安全差距、主机安全差距、应用安全差距、数据安全及恢复差距等5个方面对主机房和14个信息系统、1个网站进行等级保护安全技术差距分析,通过差距分析,明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
从检查情况看,我校网络与信息安全总体运维情况良好,未出现任何一起重大网络安全与信息安全事件(事故)。近几年,学校领导重视学校网络信息安全工作,始终把网络信息安全作为信息化工作的重点内容;网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度较为完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实;加强对学生网络宣传引导教育,日常重视微信、微博、QQ群的管理,提倡争当“绿色网民”;工作经费有一定保障,网络安全工作经费纳入年度预算,在最近一年学校信息化经费投入中,网络建设与设备购置费用约占56、5%,数字资源与平台开发费用约占40、6%,培训费用约占0、6%,运行与维护费用约占1、04%,研究及其他费用约占1、23%,总计投入占学校同期教育总经费支出的比例约1、57%,基本保证了校园网信息系统(网站)持续安全稳定运行。
1、网络信息安全组织管理
20xx年学校成立网络与信息安全工作领导小组,校主要领导担任组长,网络与信息安全工作办公室设在党委工作部,领导小组全面负责学校网络信息安全工作,教育技术与信息中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作,对全校网络信息安全工作进行安全管理和监督责任。各部门承担本单位信息系统和网站信息内容的直接安全责任。20xx年,由于人动,及时调整网络安全和信息安全领导小组成员名单,依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,明确各部门负责人为部门网站的具体负责人,建立学校网络信息员队伍,同时,还组建网络文明志愿者队伍,对网络出现的热点问题,及时跟踪、跟帖、汇报。
2、信息系统(含网站)日常安全管理
学校建有“校园网络系统安全管理(暂行)条例”、“学生上网管理办法“、“校园网络安全保密管理条例(试行)”、“校园网管理制度”、“网络与信息安全处理预案”、“网上信息监控制度”等系列规章制度。各系统(网站)使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常监控对象包括主要网络设备、安全设备、应用服务器等,其中网络中的边界防火墙、网络核心交换机和路由器、学校站服务器均纳入重点监控。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。
3、信息系统(网站)技术防护
学校网络信息安全前期的防控主要是基于山石防火墙、深信服防火墙及行为管理软件,20xx年为加强校园网络安全管理,购置了“网页防篡改、教师行为管理、负载均衡”等相关安全设备,20xx年二月中旬完成校园信息系统(含网站)等级保护的定级和备案,并上报xxx市网安支队。同时,按二级等保要求,约投资110万元,完成“网络入侵防御系统、网络安全审计系统、运维审计-堡垒机系统、服务及测评及机房改造(物理安全)”等网络安全设备的采购工作,目前,方案已经通过专家论证。
20xx年4月-6月及20xx年3月对网站系统进行安全测评,特别对系统层和应用层漏洞扫描,发现(教务管理系统、教学资源库)出现漏洞,及时整改,并将结果上报省教育厅、省网安大队、xxx市网安支队。同时,对各防火墙软件7个库进行升级,对服务器操作系统存在的漏洞及时补丁和修复,做好网站的备份工作等。
4、网络信息安全应急管理
20xx年学校制定了《xxx职业技术学校网络与信息安全处理预案》、《xxx职业技术学校网络安全和学生校内聚集事件应急处置预案》。教育技术与信息中心为应急技术支持单位,在重大节日及敏感时期,采用24小时值班制度,对网络安全问题即知即改,确保网络安全事件快速有效处置。
二、检查发现的主要问题
对照《通知》中的具体检查项目,我校在网络与信息安全技术和安全管理建设上还存在一定的问题:
1、由于学校信息化建设尚处于起步阶段,学院数据中心建设相对薄弱,未建成完善的数据中心共享体系,各应用系统的数据资源安全及灾备均由相关使用部门独自管理。同时,网络安全保障平台(校园网络安全及信息安全等级保护)尚在建设中。
2、部分系统(网站)日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识较差等问题;学校子网页网管员为兼职,投入精力难以保证,而且未取得相应资格证书;由于经费问题,个别应用系统未能及时升级,容易发生安全事故。
3、目前尚未开展网络安全预案演练,还未真正组建一支校内外联合的网络安全专家队伍,未与社会企业签订应急支持协议和完成应急队伍建设规划。
三、整改措施
针对存在的问题,学校网络与信息安全工作领导小组专门进行了研究部署。
1、全面开展信息系统等级保护工作。按照相关《通知》要求,20xx年8月底全面完成网络安全保障平台建设,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方案,形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障信息系统整体的安全。
2、完善网络安全管理制度。根据等级保护要求,进行信息安全策略总纲设计、信息安全各项管理制度设计、信息安全技术规范设计等,保障信息系统整体安全。
[关键词]信息系统工程;网络安全;建设规划;保障举措
中图分类号:TP399 文献标识码:A 文章编号:1009-914X(2017)16-0336-01
一、引言
随着我国经济的发展和社会的进步,众多领域在应用信息系统工程网络中,其应用的规模在扩大、应用的结构趋于复杂化。在此过程中,其主要的网络安全问题在加剧。因此,对于这些领域来讲,需要应用有效性方式、方法来规划新型的信息系统工程网络结构模式,保障规划建设的合理性,提高这些网络设备、部件应用的安全性,使其具有良好的应用状态。因此,我们针对信息系统工程网络安全建设规划、安全性保障举措问题开展分析和研究工作。
二、信息系统工程网络安全建设规划
信息系统工程网络安全建设规划主要是在满足现有网络结构、运行方式基础上提高相关部件应用的质量和水平,保障网络的安全性。比如:第一,进行冗余技术的应用,使得备用链路的条数获得增大、进行系统备用网络硬件和备用软件的有效性应用,降低系统在运行中出现故障的概率,保障网路的安全运行。第二,进行网络拓扑结构设计工作,提高网络技术的应用水平,提升网络维护的能力和水平,保障系统网络在应用中主要设备、部件应用的|量和效率[1]。
三、信息系统工程网络安全建设保障举措
(一)网络监控软件的应用
网络监控软件的应用有利于对网络系统运行设备进行有效的管理,开展拓扑绘制、网络链路流量管理、可以更加方便快捷的进行资源前端控制,及时的了解到网络工作运行状态和信息水平,开展高质量的监控和管理,阻止非法的主机侵入、在异常情况下及时报警,有利于提示有关人员开展有效举措应用,保障网络运行的质量和安全。
(二)防火墙技术的应用
防火墙技术的应用对保障网络系统安全发挥出了重要作用。具体来讲,首先,进行计算机网络软件与硬件的优化设置,建立起初步的防火墙系统对于网络信息与数据进行有效的过滤与拦截,保障计算机网络的安全。其次,设置具有不同级别与不同类型的多道防火墙系统,有效的抵制网络病毒的入侵与攻击。再次,设计出独特的防火墙安全检测系统,对于可能存在的病毒进行全面检测与清除,保障计算机网络的安全。最后,定期对于防火墙系统进行检查与维修工作,防止网络病毒与垃圾邮件对于防火墙本身进行入侵与攻击[2]。
(三)反病毒系统的部署应用
反病毒技术的应用是进行信息系统安全防范的一个重要方法因此。第一,运用具有科学高效特点的反病毒软件,对于计算机系统进行全面的防护。比如:360系统、金山毒霸等等。这些软件的运用方式为通过操作者对于这些软件的应用状态进行开启,这些软件对于出现的病毒以及垃圾邮件具有自动的检测与预防功能,而操作者通过后期进行检测与清理工作,就可以将这些垃圾文件与病毒进行全面的清除,保障计算机网络的安全状态。第二,设置一种有效的核心系统隐藏软件,对于计算机的核心进行网络隐藏,同时设置出多个虚拟的核心区域,使网络入侵与攻击行为作用于这些虚拟的核心区域,有效对于计算机网络进行保护。
(四)网络加密技术的应用
应用好网络加密技术可以提高网络系统安全程度,保障其具有良好应用状态。比如:第一,设置安全隔离模式屏蔽网络威胁,对于计算机的登陆口令、信息入口、数据入口设置层层密码。第二,运用网络加密技术建立起有效的网络预警机制,对于病毒攻击与垃圾邮件的恶意传递行为进行有效的报警与驱离,防止网络攻击与垃圾邮件恶意传递行为的得逞与威胁。第三,运用公钥加密与私钥加密相结合的方式对于计算机的主系统与密集区进行有效的保护。第四,通过对于加密技术的运用对于计算机的登录与关键操作进行有效的身份认证处理,核实操作人是否为计算机的真正所有者,维护计算机的运行安全与系统安全。第五,进行数据加密技术的应用,提高网络信息运行安全。RSA的工作原理简单的说就是双层秘钥进行加密,进行数据信息的传送[3]。(流程如表一)
正如上面表格所显示的那样,这种加密的算法实际上就是在信息的传送前和传送后都加了双保险进行信息的保密。同时RSA的秘钥设置长度非常的长,通常情况下有512位、1024位,甚至是更多。所以说利用这种加密的方式进行数据信息的保护是非常的安全的。
上面的表格就是这种算法的详细介绍。其中P和q都是数位足够长的素数.n为p和q想乘。而加密公式和解密公式的试用数字极其庞大,如果设置的数位足够长,可以极大提高秘钥破解难度,保障网络数据安全。
(五)进行网络设备的安全维护
进行网络设备的安全维护主要从以下两个方面内容进行。第一,进行机房的维护。比如:定期对机房的环境、机柜、机房中的计算机设备等及时清洁,保障机房的卫生,充分保障主要设备部件在长时间中保持良好运行状态。建立起服务器安全日志,提高中心机房、温度报警器、UPS、空调等设备应用时间,为保障机房中设备部件的良好运行发挥出重要作用。第二,对网路日常故障有效解决。在网络系统应用中,线路故障、设备部件的故障等始终存在。因此,对于应用的人员来讲,需要加强对设备部件、应用线路的保护水平,解决这些日常中存在的问题,维护系统各个部分运行,提高系统网络应用的质量和水平,保障其应用的安全性[4]。
四、结论
对于信息系统工程的网络安全建设提升与应用问题进行研究,有利于信息系统工程网络维护人员应用各种有效性方法进行网络系统安全规划、提高网络系统运行的质量和安全,更好的满足社会中各个领域对信息系统工程应用需求。
参考文献:
[1] 赵浩宇,李刚荣.浅谈医院信息系统的网络安全建设[J].中国卫生信息管理杂志,2010,05:74-76.
[2] 飞.网络信息工程的常见安全隐患问题及对策[J].电子测试,2017,03:128-129.
[3] 姜.金保工程信息网络安全保障体系设计与实现[J].数字技术与应用,2016,05:201.
[4] 邓效荣,陈泗贞.网络安全工程建设浅析[J].信息与电脑(理论版),2014,12:54.
【关键词】 方案;逻辑结构;拓朴结构;网络安全
1 网络规划方案
1.1 网络设计原则
计算机网络技术的发展非常迅速,在计算机应用领域占有越来越重要的地位。必须认识到,建立计算机网络是一个动态的过程,在这个过程中将不断有新技术产生,有新产品出现。因此,一定要采用最先进的组网技术,选用代表当今世界潮流趋势的计算机公司的网络产品,才能在未来的发展中保持技术领先。该网络设备采购与集成工程要充分体现技术先进性、功能实用性、操作简便性、数据共享性和系统扩展性等特点,同时兼顾投入成本和今后升级费用。具体应达到几点要求。
紧贴用户需求:网络建设的最根本的目的是满足用户的需求,并在未来的网络发展中能够有一定的扩展性。
可靠性:网络设计中网络设备和链路本身具有高可靠性,是网络中一个重要的指标。
层次结构:网络的层次结构的划分,主要是用来区分各层的主要功能,建立合理的网络结构。
实用性:网络设计一定要充分保护网络系统现有资源。同时要根据实际情况,采用新技术和新装备,还需要考虑组网过程要与平台建设及开发同步进行,建立一个实用的网络。
安全性:安全性非常重要,除了系统提供多种安全控制的手段外,网络设计也要提供保障其安全的手段。
1.2 网络逻辑结构设计思想
分层模块化设计的优点。
可扩展性:由于分级模型易于模块化,它对网络设计非常有用。因为每层设备有类似的,明确定义的功能。
设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境。
可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
网络层次的划分:按照当前网络技术和应用的发展,网络中各部分所需要承担的功能的不同,把网络分为三个层次:接入层(Access layer)、汇聚层(Distribution layer)、核心层(Core layer)。
2 详细的网络设计
2.1 整体网络拓朴结构设计
整个网络采用层次化设计,从网络的逻辑结构来看,网络分为三层,即核心层、汇聚层和接入层。
2.2 核心层的设计
以机关大楼二楼的信息中心机房、102工房的指挥调度中心机房、综合楼的一楼配线间为中心组成一个单模双环万兆主干网,核心设备选用3台高档路由器。
2.3 汇聚层的设计
在信息中心机房、指挥调度中心机房、综合楼/科研楼、101工房制丝中控室、102工房卷包中控室、101工房动力中控室分别配置两台交换机,每台交换机各自以万兆方式就近接入核心层路由器,同时两台交换机之间也以万兆线路连接。
2.4 接入层的设计
接入层是网络的最边缘部分,直接连接网络用户终端,为网络提供通信。它的主要目的是允许最终用户连接到网络。采用千兆光纤线路连接本楼汇聚层的交换机,以10/100/1000M电口连接终端,同时考虑到无线系统的部署,接入交换机还要提供无线接入点的接入。
2.5 IP地址规划
2.5.1 IP地址规划的重要性
网络的设计及实现新厂区IP地址的分配,采用动态分配、集中管理办法。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系。
2.5.2 IP地址分配方案
为适应不同规模的网络,可将IP地址分类,称为有类地址。每个32位的IP地址可以分成网络部分和主机部分。每个地址的最高位或起始几位标识地址的类别,共有5类IP地址,分别是A,B,C,D,E类地址。
2.6 VLAN的规划
以太网交换技术的一个主要特征是VLAN,它使用交换机将工作站和服务器聚集到逻辑概念上的组中。在一个VLAN中的设备只能够与同一个VLAN中的设备通信,这样,一个交换式的网络工作起来就像是许多互不相连的单独的LAN一样。
2.7 路由设计规划
路由器使用路由选择协议交换路由选择信息。内部网管协议(IGP)和外部网管协议(EGP)是路由选择协议的两种家族。由于此网络为3级网络系统,骨干网络有一定规模,合适的路由协议将有利于路由快速的收敛,实时反映网络系统中链路和设备的变化,并减少网络上的路由信息传输量,提高网络带宽的利用率。
3 网络安全设计与实现
网络安全包括两个主要方面:首先保护你的网络防止非授权访问;其次,确保你在发生灾难性事件后能够恢复数据。在第一个方面中可以采取建立安全策略来达到此目的。数据恢复是网络安全的第二个方面。
3.1 网络安全的设计
在局域网内部,为对整个网络的安全状况进行有效的评估,建议配置网络安全扫描设备,对包括Internet/Extranet外部网络接口、内部主机在内的整个网络进行扫描,在不断变化的网络中识别并分析安全弱点(Proactive Software),同时快速生成超链接的、定制、可编辑的报告,帮助用户找到网络中的安全薄弱环节,从而调整安全策略,控制风险。
3.2 网络安全的实现
1)在网络中配属防火墙,作为企业广域网和局域网之间的边界控制。Cisco可提供PIX硬件防火墙、IOS路由器防火墙和交换机上的防火墙模块。
2)对所有网络设备的管理必须经过身份识别和监控,Cisco所有的网络设备都支持复杂的AAA功能,支持Radius和TACACS+等多种协议,更可以支持信息的加密传输如SSH和SNMP v3。
3)作为主动的防护手段, IDS入侵探测设备,可与防火墙配合使用,当侦测到入侵时,可动态修改防火墙的策略,关闭入侵者的连接和IP通道。
4)Cisco提供丰富的网络安全管理软件,小到Cisco Works上的一个组件,大到专门的策略管理器,应有尽有。
4 结束语
在整个网络规划与设计中达到了网络设计层次优化、可靠性高、安全系数稳定、服务质量有保证等优势。
高校在建设的时候,网络规划、网络安全设计等都是根据当时的实际情况再预计未来一段时间的扩展性来设计,许多网络系统、设备等到目前为止已经开始落后。网络数据的井喷与网络应用的飞速发展,更是进一步考验高校现有网络的安全性、可靠性和稳定性。虽然,许多高校随着时代的不断发展,也在不断地更新换代新的设备,但是更换新一代的设备只是性能上的进一步提升,对于数据处理、转发是跟得上时代的发展,不过对于网络安全来说却远远不足。
关键词:
网络安全;校园网;策略
1校园网络基础网络架构
早期大部分高等院校校园建设的时候,信息化规划跟不上学校教育的扩展,许多高等院校的基础网络架构都是简单的层次化网络结构(见图1):接入层、汇聚层、核心层级联,再通过防火墙出口外部网络,同时保证外部网络对内部网络的威胁被阻止,相对高级一些的设计还可能包括IDS(入侵检测系统),随着学校的不断发展,一步步在原有的基础网络上添加新设备来丰富网络组成,并提供更多的网络服务。
2传统网络攻击过程
在从前,主要的网络安全威胁来自基于各种漏洞而进行的网络攻击和下载带病毒的软件包而导致的系统病毒感染。而这些传统的网络攻击手段之后,才是在被攻破的系统中留下木马、后门,或者破坏、窃取数据。这些传统的攻击手段是层层递进式的(见图2),从攻击的开始到结束以递进的形式进行,如果前面的步骤无法实现,则整个网络攻击过程将会中断。这些传统的网络攻击包括诸如DoS攻击、DDoS攻击、系统入侵、网络渗透等。不断重复这样的一个网络攻击过程,当累积到一定的量后所组成的网络僵尸大军将对整个网络造成非常严重的影响。
3传统校园网络安全防范体系
根据传统的网络攻击过程,在许多的院校的基础网络中都会加入相应的网络安全防范措施,这些网络安全防范措施就构成了常见的校园网络安全防范体系。而在传统的高校校园网络安全防范体系中,将网络安全防御定义为外部网络、内部网络和用户3个层次,而每个层次中有针对该层次的网络安全设备和措施。对于外部网络这一个层面,直接面对的是防火墙,很多的院校网络都采用防火墙作网络出口,承担着网关与防火墙的双重功能。采用防火墙作为外部网络与内部网络的边界,可以有效地阻止大部分来自于外部网络的恶意攻击,保证内部网络的稳定。在防火墙之后部署一台入侵防御系统,可以进一步检测可能避过防火墙的安全检测而进入网络的恶意流量。在内部网络这个层面,传统的网络安全体系中一般没有什么网络安全设备,在这个层次主要采用的是基于策略的网络安全措施,也就是所谓的软设备。通过网络设备中进行软件层面的安全策略设计,保证内部网络流量的正常稳定的转发。例如,采用访问控制列表来对网络进行一些控制,不允许学生访问教师网络资源;使用QoS功能保证数据的高效转发,设置安全端口,MAC与IP地址的绑定,甚至更高级的基于802.1x的认证。到了用户层面,主要确保的是操作系统的安全,因为很多恶意的攻击软件、病毒、木马或入侵软件都是基于操作系统漏洞进行渗透破坏的,所以在用户这个层面,针对操作系统要打好操作系统的补丁、安装功能强大的杀毒软件,开启操作系统自带的软件防火墙或者杀毒软件的防火墙,进一步,加强用户层面的安全性。即使用有瞒过防火墙,混过入侵防护系统的漏网之鱼,也可以在用户层面进行补救。采用这种传统的网络安全体系进行网络安全的设计部署,在以前的网络时代还是有很好的效果的,但是,现今进入了网络时代2.0,新的技术、新的威胁层出不穷,此时旧的网络安全体系在网络安全防护上表现得就有些捉襟见肘了。校园网络需要推陈出新,结合现在的校园网络及互联网络的发展趋势,设计更合适更合理的网络安全解决方案。
4传统网络安全策略应用分析
传统校园网络安全解决方案使用的网络安全策略应用是基于不同层面进行区分的,针对不同层面分别部署相对应的网络安全设备或网络安全策略。这种网络安全策略应用主要是针对从外部网络进入内部网络的流量进行检测控制,正如防火墙功能一样,定义了外部非安全区域、内部安全区域和DMZ区域,然后给这些区域定义安全等级和默认策略。这种安全体系的设计对于以前的网络攻击过程(见图4)来说是可以满足校园网络安全的需求的。在以前的网络环境中,攻击主要来自外部,内部的安全等级是可信的,所以外部的攻击流量经过防火墙后,基本上已经抵御了,再经过IPS或IDS设备后,到达用户层面时还要经过操作系统或杀毒软件防火墙后,可以成功攻击目标的恶意行为已经降到了可接受层面范围。所以,从前的校园网络安全情况比现在相对要好一些。如图4的攻击过程示意所示,基于原有的网络安全策略应用对于起源自外部网络的攻击可以做到有效防范,但是正如前文提到的,现在越来越多的现象是,内部用户通过其他途径感染了自动下载代码或木马端等恶意源后,从内部发起攻击或者自动下载各式各样病毒木马直接破坏用户操作系统,并以此为跳板,从内部网络感染、攻击其他用户主机、学校服务器等设备,导致学校网络受到严重影响进一步影响学校的正常教学秩序。原有的校园网络安全策略应用基于单向防护、由3个独立层面以递进的方式构建的校园网络防御系统,其性能已经无法适应现时复杂多样化的校园网络环境。因此,针对这个旧的网络安全策略应用的不足,需要一个更合适更优秀的校园网络安全策略。
5传统网络安全策略架构分析
在院校用的旧的校园网络解决方案中,采用的基础架构简单实用,在从前的网络时代,无论是外部网络还是内部网络的数据流量都不并是很大,而且那时候无论是师生的日常生活还是教学活动中,对网络的依赖程度也不高。不过,随着人们对网络的依赖性的不断加强,以及信息化教学的广泛推广,校园网络中产生了越来越多的数据,并且日常教学也有绝大部分是基于网络的。这个时候,传统的网络架构就存在不足,主要体现在网络单点故障现象导致的网络中断而影响师生的生活学习和学校的教学秩序。现在新规划的校园网络中,校园网络基础架构相对复杂,但是性能和安全性都有所提升。现有校园网络基本上都是基于双网络核心热备以提高网络的安全性和可靠性的设计,根据学校的需求,可以选择在关键节点部署双机热备提供安全可靠性,避免了原有基础网络架构的不足。
6网络安全策略应用技术分析
经过调查了解,现在校园网络中采用的技术有很多都不符合标准,例如密码的复杂性,这个最基本的一条都做不到。另外,学校管理中使用的技术不足,如管理网络设备使用telnet协议而不是采用ssh,对管理流量与数据流量没有区分控制,无线网络的加密算法采用容易破解的算法等等。这些技术细节上的不足,也会导致校园网络安全受到威胁。因此,在新的网络安全策略应用中,应该注意相关网络安全技术的使用是否符合安全等级的要求。
7传统高校校园网络安全策略应用的优点
对于传统的高校校园网络安全解决办法来说,好处就是学校的信息化建设方案相对简单,管理相对便捷,在数据量以及网络依赖性不高的院校,或资金不足的院校具有一定的参考作用。
8传统高校校园网络安全策略应用的缺点
对于传统的高校校园网络安全解决办法来说,弊端就是学校校园网络安全受到严重威胁,来自校园网络外部、内部、系统自身产生的安全威胁汇集起来使用整个校园网络的复杂性、不稳定性大大增加,最后导致网络安全性大大降低。
作者:周怡燕 单位:南华工商学院
[参考文献]
[1]邹县芳,孙道德.高校校园网络安全问题及策略研究[J].阜阳师范学院学报:自然科学版,2010(27):87-90.
[2]杜芸.高校校园网网络安全隐患与解决策略探析[J].信息安全与技术,2015(6):13-15.
[3]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(7):160-161.
【关键词】电力数据网络 应用 安全性
随着黑客技术以及计算机病毒的升级,电力数据网络的安全性受到了很大的冲击。基于这一点,电力数据网络在实际的应用过程当中,需要制定更有效的方案,规划有效的安全策略,确保电力数据网络能够安全的运行。
电力业务的正常运转需要通过计算机网络的安全来保障,而电力信息化工程是计算机网络的基础设施,因此,需要进一步优化完善电力信息化工程。而电力系统在物力容灾方面的防护措施相ν晟疲且提高了防止攻击以及网络防护等方面的安全措施,特别是应对黑客攻击,当前尽管初步的防护系统已经构建,然而,因电力系统数据网络在构建与管理过程中有效的指导严重缺失,再加上黑客技术的不断升级,因此,在这样面应有的效果还远远不够,因此,对于这一方面如何做出优化升级,构建多层次的安全防护体系,依然是电力数据网络发展过程中需要高度重视的内容之一。
本文通过对电力数据网络的特点与应用展开分析,结合电力数据网络的实际情况,提出有效的防护措施,确保电力企业网络建设以及管理安全措施的构建,定为电力企业以及其他企业的发展提供相应的理论借鉴。
1 电力数据网络的特点及应用
分级电力数据网络在现阶段的电力系统当中已经初步形成。就传输协议、硬件组成等各个方面,这与互联网的相似性非常高,电力数据网络的参考模式氛围了七层,主要是应用层、表示层、传输层、网络层、会话层、数据链路层、物理层组成。从组网方面来看,网络资源具备了信息传输量的独有优势。从实际应用中来看,MIS、OA、电网调度自动化系统、发电厂、变电站自动化监控系统都是电力数据网络的应用范围,可见其应用空间的广泛性。电力数据网络所承载的内容有对外服务信息、视频信息、语音信息、四遥信息等,而实时数据与非实时数据是根据安全等级、实时等级、业务类型等的不同来划分的。
其中,实时数据所指的就是如微机保护监测、故障录波、电量计费、水情、厂站和调度中间之间的实时数据等声场控制类的数据。实时数据与电力生产调度之间的联系非常紧密,且对数据流与速率没有太大的要求,然而业务实时性要求非常强。而电力营运市场信息、网络服务信息、MIS、OA等方面则指的是非实时数据。这些数据的实时性要求并不高,但是需要具备突发性与随机性。并对保密性与速率等方面提出了很高的要求。此外,对于生产控制类数据之外的业务数据也需要覆盖到。
2 电力数据网络的安全性
二次系统在店里系统当中作为一种非常大的整体性的工程,电力数据网络安全是其中最重要的组成部分。电力数据网络实时系统承载这调度数据的业务,因此,外网络覆盖面非常广泛,
并且对此提出了更高的安全性的要求。电力系统当中,安全等级较低的系统是不会对安全等级较高的系统带来影响的。电力数据网络中的非实时系统的要求没有实时系统安全等级要求高。另外,对于电力调度与电力监控系统的安全防护提出的安全可靠的方案,是不能直接连接安全等级低的系统。因此,相应的原则要四种坚持,并提高电力调度与电力电控系统的安全系数。以往的单一的EMS随着调度系统的进一步发展,延伸到现阶段的调度生产管理系统、电力市场技术支持系统、遥测、故障录播远传等方面。而电力数据网络在调度自动化系统当中也起到了非常重要的作用,所以其安全性的要求非常的高。对接外网的时候,相应的隔离与加密处理需要做严格的处理,病毒防范工作也需要做进一步的优化完善。而网络数据安全的内容包含了应用系统、网络管理、访问控制以及检测、接入安全等方面。
3 电力数据网络安全防护措施
3.1 规划与设计
网络规模大以及节点多是电力数据网络所具备的,所以,需要提出更合理的规划与设计。现阶段,多自域、分层、分级是电力数据网络所采用的主要结构设计,主要有独立的国家骨干网和升级数据网组成,其中包含了接入层、骨干层和核心层。数据网络设计的时候,可靠性、实时性、网络拓扑、业务等方面的设计需要充分考虑到。
3.2 技术措施
规划电力系统安全方式体系以及数据网络技术体系的过程中,需要严格按照实时性、可靠性、安全性等电力生产业务等数据网络要求进行。而外网隔离的专用网络以及与外网连接的企业内部网络这两类网络是电力企业中主要的网络类型。所以,网络安全访问控制技术、加密通信技术、身份认证技术、备份恢复技术需要在安全设计的过程中采用。
3.3 管理制度的完善
电力数据网络所设计的管理环节非常多,因此,需要不断的完善优化。详细来说,就是可以通过对全网开展实施监管,确保电力数据网络的全局性以及系统性。还需要加强人员的管理,提高网络管理队伍的整体素质。提高运行管理,优化完善相关的管理与安全制度。提高网络安全相关的专业知识,针对这一点,可以通过聘请专业的网络安全专家,并与其做有效的沟通,进而提高网络安全技术。
4 结论
在现阶段的电力系统当中,电力数据网络的作用非常重要,且对电力系统的运行以及发展有着重要的意义。随着我国网络技术的进一步发展与广泛的应用,网络环境也越来越复杂。所以,也对电力数据网络安全也提出了更高的要求。因此,我们要提高对电力数据网络应用与安全性的重视程度,并制定有效的应对方案,并进一步优化电力数据网络安全性,确保其能安全稳定的运行,以期可以为我国的电力事业贡献力量。
参考文献
[1]李俊娥,罗剑波,刘开培,周洞汝.电力系统数据网络安全性设计[J].电力系统自动化,2013,11(02):56-60.
[2]辛耀中,胡红升,卢长燕,樊若雷.中国电力数据网络建设和运行中应注意的四个关系[J].电力系统自动化,2011,10(01):1-5.
[3]谢敏.电力系统数据网络安全中容侵技术的应用实践[J].信息通信,2014,11(03):90.