計算機網路安全措施 計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,
⑵ 企業對網路安全的需求都有哪些
企業對安全方案的需求
早在20世紀90年代,如果企業和政府機構希望能具有競爭力,他們就必須對市場需求作出強有力的響應。這就引發了依靠互聯網來獲取和共享信息的趨勢。然而,隨著經濟狀況在近年來所發生的轉變,市場的焦點又返回到了基本的原則。目前,企業和政府領導者們都認識到,對未來增長和生產效率產生最大約束的因素就是網路安全性和可用性。
生產效率為什麼如此重要呢?生產效率的提高與營業收入的增長是直接相關的:
如果生產效率增長率為2.5%,那麼營業收入每隔三十年就能翻一番。
如果生產效率增長率為10%,那麼營業收入每隔七年就能翻一番。
近年來的經濟挑戰強調的是進一步提高生產效率進而推動未來增長,而基於互聯網的生產效率工具則取決於網路安全性和可用性。
網路的轉型
在過去,網路大多是封閉式的,因此比較容易確保其安全性。那時的安全性是取決於周邊環境的,因為網路本身是一個靜態的環境。周邊環境是很容易定義的,網路智能是不需要的,而簡單的安全性設備足以承擔封堵安全性漏洞的任務。
然而,網路已經發生了變化,時至今日,確保網路安全性和可用性已經成為更加復雜的任務。市場對於網路支持居家辦公方式、分支機構連通性、無線移動性和新的企業到企業戰略的需求不斷增加,現代的網路周邊環境的封閉性已經被打破。在今天的情況下,用戶每一次連接到網路之後,原有的安全狀況就會發生變化。所以,很多企業頻繁地成為網路犯罪的犧牲品,因為他們的業務不斷增長,目前所使用的針對早期、不很復雜的網路而設計的安全設備都已經無能為力了。
目前市場中所部署的多數安全解決方案都要求客戶將安全功能與聯網戰略分離開來,這樣才能應用不能識別網路的、不是針對與網路服務合作而設計的工具。這就使得此類網路極其脆弱,在現代黑客所發起的狡猾的攻擊面前不堪一擊。
泛濫成災的互聯網攻擊
發動毀滅性網路攻擊並不困難。有很多種攻擊工具都可以很容易地從互聯網上找到和下載。網路攻擊的次數在迅速增多。據聯邦調查局(FBI)統計,70%的安全犯罪都是由內部人員實施的。(然而,近期證據還表明,外部攻擊的次數也在增多。)
考慮到業務的損失和生產效率的下降, 以及排除故障和修復損壞設備所導致的額外開支等方面,對網路安全的破壞可以是毀滅性的。此外,嚴重的安全性攻擊還可導致企業的公眾形象的破壞、法律上的責任、乃至客戶信心的喪失,並進而造成無法估量的成本損失。
隱私權與安全性立法對行業的影響
目前(美國)在醫療保健(HIPAA)、金融服務(GLBA)和零售(在線隱私權法案)等某些行業中,強制實施隱私權和安全性的聯邦法案和相關規定已經作為法律頒布實行。HIPAA就是"醫療保險可移植性與可信度法案",到2003年4月,該法案中所規定的機構都必須遵守隱私權法規。該法案中所包括的機構應該以下列方式開始自己的HIPAA規劃過程:進行網路安全性分析(如思科公司所提供的安全性狀況評估)並進行隱私權與商業策略差距分析(思科公司生態系統合作夥伴可以提供)。
⑶ 網路安全行業專題報告:零信任,三大核心組件,六大要素分析
獲取報告請登錄【未來智庫】。
1.1 零信任架構的興起與發展
零信任架構是 一種端到端的企業資源和數據安全 方法,包括身份( 人和 非 人的實體)、憑證、訪問管理理、操 作、端點、宿主環境和互聯基礎設施。
• 零信任體系架構是零信任不不是「不不信任」的意思,它更更像是「默認不不信任」,即「從零開始構建信任」的思想。 零信任安全體系是圍繞「身份」構建,基於許可權最 小化原則進 行行設計,根據訪問的 風險等級進 行行動態身份 認證和授權。
1.2 零信任架構的三大核心組件
1.3 零信任的六大實現要素——身份認證
2.1 零信任安全解決方案主要包括四個模塊
2.2 零信任的主要部署場景
2.3 零信任將會對部分安全產品帶來增量效應
2.4 零信任將會成為安全行業未來的重要發展方向
零信任抓住了了 目前 網路安全 用戶的痛點, 零信任是未來 網路安全技術的重要發展 方 向。根據Cybersecurity的調查, 目前 網路 安全的最 大的挑戰是私有應 用程序的訪問 端 口 十分分散,以及內部 用戶的許可權過多。 62%的企業認為保護遍布在各個數據中 心 和雲上的端 口是 目前最 大的挑戰,並且 61%的企業最擔 心的是內部 用戶被給予的 許可權過多的問題。這兩點正是零信任專注 解決的問題,現在有78%的 網路安全團隊 在嘗試采 用零信任架構。
3、投資建議
企業業務復雜度增加、信息安全防護壓 力力增 大,催 生零信任架構。
企業上雲、數字化轉型加速、 網路基 礎設施增多導致訪問資源的 用戶/設備數量量快速增 長, 網路邊界的概念逐漸模糊; 用戶的訪問請求更更加復 雜,造成企業對 用戶過分授權;攻擊 手段愈加復雜以及暴暴露露 面和攻擊 面不不斷增 長,導致企業安全防護壓 力力加 大。 面對這些新的變化,傳統的基於邊界構建、通過 網路位置進 行行信任域劃分的安全防護模式已經 不不能滿 足企業要求。零信任架構通過對 用戶和設備的身份、許可權、環境進 行行動態評估並進 行行最 小授權, 能夠 比傳統架構更更好地滿 足企業在遠程辦公、多雲、多分 支機構、跨企業協同場景中的安全需求。
零信任架構涉及多個產品組件,對國內 網安 行行業形成增量量需求。
零信任的實踐需要各類安全產品組合, 將對相關產品形成增量量需求:1)IAM/IDaaS等統 一身份認證與許可權管理理系統/服務,實現對 用戶/終端的 身份管理理;2)安全 網關: 目前基於SDP的安全 網關是 一種新興技術 方向,但由於實現全應 用協議加密流 量量代理理仍有較 大難度,也可以基於現有的NGFW、WAF、VPN產品進 行行技術升級改造;3)態勢感知、 SOC、TIP等安全平台類產品是零信任的 大腦,幫助實時對企業資產狀態、威脅情報數據等進 行行監測;4)EDR、雲桌 面管理理等終端安全產品的配合,實現將零信任架構拓拓展到終端和 用戶;5) 日誌審計:匯聚各 數據源 日誌,並進 行行審計,為策略略引擎提供數據。此外,可信API代理理等其他產品也在其中發揮重要 支撐 作 用。
零信任的實踐將推動安全 行行業實現商業模式轉型,進 一步提 高 廠商集中度。
目前國內 網安產業已經經過 多年年核 心技術的積累,進 入以產品形態、解決 方案和服務模式創新的新階段。零信任不不是 一種產品, 而 是 一種全新的安全技術框架,通過重塑安全架構幫助企業進 一步提升防護能 力力。基於以太 網的傳統架構 下安全設備的交互相對較少,並且能夠通過標準的協議進 行行互聯,因 而導致硬體端的采購 非常分散,但 零信任的實踐需要安全設備之間相互聯動、實現多雲環境下的數據共享,加速推動安全 行行業從堆砌安全 硬體向提供解決 方案/服務發展,同時對客戶形成強粘性。我們認為研發能 力力強、產品線種類 齊全的 廠商 在其中的優勢會越發明顯。
由於中美安全市場客戶結構不不同以及企業上公有雲速度差異,美國零信任SaaS公司的成功之路路在國內還 缺乏復制基礎。
美國 網路安全需求 大頭來 自於企業級客戶,這些企業級客戶對公有雲的接受程度 高,過 去 幾年年上雲趨勢明顯。根據Okta發布的《2019 工作報告》,Okta客戶平均擁有83個雲應 用,其中9%的 客戶擁有200多個雲應 用。這種多雲時代下企業級 用戶統 一身份認證管理理難度 大、企業內外 網邊界極為 模糊的環境,是Okta零信任SaaS商業模式得以發展的核 心原因。 目前國內 網路安全市場需求主要集中於 政府、 行行業( 金金融、運營商、能源等),這些客戶 目前上雲主要以私有雲為主, 網安產品的部署模式仍 未進 入SaaS化階段。但隨著未來我國公有雲滲透率的提升,以及 網安向企業客戶市場擴張,零信任相關 的SaaS業務將會迎來成 長機會。
投資建議:
零信任架構的部署模式有望提升國內 網安市場集中度,將進 一步推動研發能 力力強、擁有全線 安全產品的頭部 廠商擴 大市場份額、增加 用戶粘性,重點推薦啟明星 辰辰、綠盟 科技 、深信服、南洋股份, 關注科創新星奇安信、安恆信息。
(報告觀點屬於原作者,僅供參考。作者:招商證券,劉 萍、范昳蕊)
如需完整報告請登錄【未來智庫】。
⑷ 網路需求分析的主要內容有哪些方面
從分析的內容來看,主要應該包括網路需求分析、網路規劃與結構分析和網路擴展性分析三個內容。
1、網路需求分析
包括環境分析、業務需求分析、管理需求分析、安全需求分析。
(1)環境分析是指對企業的信息環境基本情況的了解和掌握,例如辦公自動化情況、計算機和網路設備的數量配置和分布、技術人員掌握專業知識和工程經驗的狀況,以及地理環境(如建築物)等等。通過環境分析,可以對建網環境有個初步的認識,便於後續工作的開展。
(2)業務需求分析的目標是明確企業的業務類型、應用系統軟體種類以及它仍對網路功能指標(如帶寬,服務質量Qos)的要求。
業務需求是企業建網中首要的環節,是進行網路規劃與設計的基本依據。那種為了網路而建網路,缺乏企業業務需求分析的網路規劃是盲目的,會為網路建設埋下各種隱患。
通過業務需求分析,可為以下方面提供決策依據:
需實現或改進的企業網路功能有哪些。
需要技術的企業應用有哪些。
需要電子郵件服務嗎?
需要Web務器嗎?
需要上網嗎?
需要什麼樣的數據共享模式。
需要多大的帶寬范圍。
需要網路升級嗎?
網路的管理需求是企業建網不可或缺的方面,網路是否按照設計目標提供穩定的服務主要依靠有效的網路管理。「向管理要效益」也是網路工程的真理。
(3)網路管理需求是建設網路不可或缺的方面,網路是否按照設計目標提供穩定的服務主要依靠有效的網路管理。網路管理包括兩個方面:
人為制定的管理規定和策略,用於規范人員操作網路的行為。
網路管理員利用網路設備和網管軟體提供的功能對網路進行的操作。通常所說的網管主要是指第二點,它在網路規模較小、結構簡單時,可以很好地完成網管職能。
好點隨著現代企業網路規模的日益擴大,逐漸顯示出它的重要性,尤其是網路策略的制定對網管的有效實施管理和保證網路高效運行是至關重要的。
網路管理的需求分析要回答以下類似的問題:
是否需要對網路進行遠程管理。
誰來負責網路管理。
需要哪些管理功能。
選擇哪個供應商的網管軟體,是否有詳細的評估。
選擇哪個供應商的網路設備,其可管理性如何。
怎樣跟蹤分析處理網管信息。
如何更新網管策略。
(4)隨著網路規模的擴大和開放程度的提高,網路安全問題越來越突出。先前那些沒有考慮網路安全性的企業網路不僅遭受重大經濟損失,還使企業形象受到了破壞。
安全性設計是網路設計中極其重要的方面之。安全性設計的任務是分析威脅和開發需求,眾多技術設計都要求這點,獲取安全性目標意味著要做出權衡。安全性實現可能增加使用和運行網路的成本,嚴格的安全性策略還會影響用戶的生產率,甚至會因為保護資源和數據而導致損失。而安全性過差會導致用戶想出繞過安全性策賂的方法。如果所有通信都必須全部通過加密設備,那麼安全性還會影響網路設計的冗餘。
客戶基本的安全性要求是保護資源以防止其無法使用、被盜用、被修改或被破壞。資源包括網路主機、伺服器、用戶系統、互連網路設備、系統和應用數據、以及公司形象等。
其他更特殊的需求包括以下個或多個目標:
允許外部用戶訪問公共Web或FTP伺服器上的數據,但不允許訪問內部數據。
授權並認證分支部門用戶、移動用戶和遠程用戶。
檢測入侵者並隔離他們所做的破壞。
認證從內部或外部路由器接收的路由選擇列表更新。
保護通過側傳送到遠程站點的數據。
從物理上保護主機和網路互連設備(例如將設備鎖在屋內)。
利用用戶賬號核對目錄及文件的訪問許可權,從邏輯上保護主機和互連網路設備。
防止應用程序和數據感染軟體病毒。
就安全性威脅及如何避免安全性問題培訓網路用戶和網路管理員。
通過版權或其他合法的方法保護產品及知識產權。
2、網路規劃與結構分析
包括確定網路規劃、拓撲結構分析、與外部網路互聯方案。
(1)確定網路的規劃即明確網路建設的范圍,這是通盤考慮問題的前提。
網路規模般分為以下幾種:
工作組或小型辦公室區域網。
部門區域網。
骨幹網路。
企業級網路。
明確網路規模的大好處是便於制定適合的方案,選購合適的設備,提高網路的性能價格比。
確定網路規模涉及以下方面的內容:
哪些部門需要進入網路。
哪些資源需要上網。
有多少網路用戶。
採用什麼檔次的設備。
網路及網路終端的數量。
(2)網路拓撲結構受企業的地理環境制約,尤其是區域網段的拓撲結構,它幾乎與建築物的結構致。所以,網路拓撲結構的規劃要充分考慮企業的地理環境,以利於後期工作的實施。
拓撲結構分析要明確以下指標:
網路的按入點數量。
網路的接入點的分布。
網路連接的轉接點分布位置。
網路設備間的位置。
網路中各種連接的距離參數。
其他結構化布線系統中的基本指標。
(3)建網的目的就是要拉近人們的交流信息的距離,網路的范圍可以說是越大越好。電子商務、家庭辦公、遠程教育等互聯網應用的迅速發展,使得網路互聯成為企業建網的個必不可少的方面。與外部網路的互聯涉及是否需要上網以及採用什麼技術上網等。
3、網路擴展性分析
通過科學合理的規劃能夠取得用低的成本建立佳的網路,達到高的性能,提供優的服務等完美效果。
可擴展性有兩層含義,其是指新的部門能夠簡單接入現有網路;其二是指新的應用能夠無縫地集成到現有的網路中來。可見,在規劃網路時,不但要分析網路當前的技術指標,而且還要估計網路未來的增長,以滿足新的需求,保證網路的穩定性,保護企業的投資。
擴展性分析要明確以下指標:
(1)企業需求的新增長點有哪些。
(2)網路結點和布線的預留比率是多少。
(3)哪些設備便於網路擴展。
(4)帶寬的增長估計。
(5)主機設備的性能。
(6)操作系統平台的性能。
⑸ 網路安全的背景.
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
1、Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2、Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3、Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4、在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑著君子協定來維系的。
5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。
6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下幾種:
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
以上內容參考 網路-網路安全;網路-網路信息安全
⑹ 網路安全需求分析
說了這么多感覺挺高大尚的。網路安不安全還是需要看人。 最主要要的事web電腦的安全,這里破了,其他的基本都好破。可以騙內部人員密碼,可以暴力破解。 現在的網路都是很安全的,哪裡來的黑客攻擊我倒。只要伺服器抗ddos,根本不受影響。被人盜了,都是內部有後門,內部人員得問題。給員工好好發工資,穩住人心,管理最主要,管理不好,人心渙散,該走就走,該盜還是會被盜得。
⑺ 求關於校園網或企業網組建的論文
在教學教育領域,資源共享、教學網路化、辦公自動化無疑是大勢所趨,為了讓師生之間、教工之間達成互聯互通,很多中小學校、大學都需要急需建立校園網,然而在校園區域網建設方面,由於各學校的情況不同,應用方向也有差異,導致在建設方案上有一定的區別,但歸根結底,校園區域網的基本方案都相似,因此在部署校園區域網時,很多學校部署校園網方案時都會遇到類似的問題,為了校園內外"班班通"、"室室通"、"校校通"的目的,我們需要掌握校園的的施工、聯網、使用與調式等知識,並對不同方案的部署情況進行詳細思考,根據學校對信息點的安排和網路應用的需求,制定合理的校園網總體建設規劃和實施方案,甚至需要解決一些部署後的實際問題,以滿足目前校園區域網的實際應用需求。
一、用什麼"線"聯網?
在組建校園區域網時,很多用戶對交換機、路由器、網卡等設備加以重視,這不可否認是正確的,但有時他們卻忽視了一個不起眼的問題,那就是網線,在校園區域網中,一般布線系統有六個子系統組成:建築群間子系統,設備間子系統,管理區子系統,垂直(主幹)子系統,水平子系統,工作區子系統,不同的子系統,設備之間使用的網線也不同,這在很大程度上讓用戶感到迷茫。一般而言,區域網所使用的連線具有雙絞線、同軸電纜、光纜三種,在校園區域網中,需要根據實際情況,選擇對應的布線線纜比如對於校園內樓宇間的連接線纜,由於是暴露在室外,常年受到日曬雨林的影響和雷電的干擾,此時使用光纜作傳輸介質最為適宜。因為光纜具有高帶寬,傳輸距離遠,抗干擾能力強、安全性好、抗老化和高壽命等顯著特點,此外,就目前大多數校園網的應用情況而言,校園網上承載的傳輸信息中,多媒體信息的傳輸量將會越來越大,如多媒體教學,電子閱覽、視屏點播等應用,主幹網傳輸介質必須具有承載千兆速率的能力,此時只有光纜才能滿足戶外主幹網的布線需求。對於同軸電纜,由於貨源難覓,其成本已超過光纜,比較適合短距離的核心設備連接,比如交換機與路由器的連接線纜。
校園網為園區網,樓群間子系統採用光纜連接,可提供千兆位的帶寬,有充分的擴展餘地,如果選擇雙絞線,由於沒有屏蔽層,在室外很容易感應雷電而產生干擾,甚至損壞設備。雙絞線因受室外惡劣環景的影響,容易老化,壽命短。而且雙絞線不容許超過100米,它不適合作連接樓與樓之間的主幹電纜。不過對於校園室內的布線介質,由於需要管理區子系統並入設備間子系統,集中管理,所以線纜的長度比較大,由於光纜價格昂貴,選擇雙絞線是比較實際的,而且目前的屏蔽雙絞銅線(STP)的抗干擾和傳輸距離比較好,不僅可支持一般的學校信息管理應用對網路傳輸帶寬的要求,而且完全支持MPEG-2等格式的多媒體信息傳輸。 在校園網區域網中,常用的網路協議有NetBEUI、IPX/SPX和TCP/IP三種,在實際組網時,到底選擇哪種網路協議,需要根據校園網的實際規模、網路應用需求、網路平台兼容性和網路管理等情況而定。其中NetBEUI協議是為中小區域網設計,它是用Single-Partnames定義網路節點,不支持多網段網路(不可路由),但具有安裝非常簡單、不需要進行配置、佔用內存少等特點,因而對於中小學校的區域網而言,由於機器性能比較低,往往只安裝了比老的Windows 95/98/NT系統,只是為了簡單的文件和設備共享,並且暫時沒有對外連接的需要,此時建議選擇NetBEUI協議進行組網。
對於大學校園區域網而言,由於存在多個網段或要通過路由器與外部相連,加之學校配備的電腦性能比較好,此時NetBEUI協議就無法滿足組網需求,建議選擇IPX/SPX或TCP/IP協議組網,其中IPX/SPX 協議在復雜環境下具有很強的適應性,具有強大的路由功能,適合於大型網路使用,不過它局限於使用在NetWare網路環境中,在Windows網路環境中無法直接使用IPX/SPX通信協議。不過為了實現與NetWare平台的互聯,Windows 系統提供了兩個IPX/SPX兼容協議:NWLink SPX/SPX和NWLink NetBIOS,前者只能作為客戶端的協議實現對NetWare伺服器訪問,而後者可在NetWare平台與Windows 平台之間傳遞信息,也能夠作為Windows系統之間的通信協議。
盡管如此,大多數學生、教師依然習慣使用Windows平台,此時校園網選擇TCP/IP協議是必然趨勢,無論在區域網、廣域網還是Internet,無論是Unix系統或Windows平台,TCP/IP協議都可以實現校園網的組網需要,TCP/IP是一種可路由協議,它採用一種分級的命名規則,通過給每個網路節點配置一個IP地址、一個子網掩碼、一個網關和一個主機名,使得它容易確定網路和子網段之間的關系,獲得很好的網路適應性、可管理性和較高的網路帶寬使用效率。不過TCP/IP協議的配置和管理比NetBEUI 和IPX/SPX 更復雜,並且佔用系統資源更多,所以對於機器性能不高或維護知識不夠的中小學校,TCP/IP協議在校園網中存在一定的使用門檻。很多中小學校、大學分校依然存在著多個區域網沒有互聯的情況,此時如果重新進行校園網布局,不僅增加了建設成本,而且對於維護也帶來一定麻煩。為此,學校應該使用適當的網路設備,實現多個區域網的互聯,讓學生、教師、辦公人員可以進行資源共享、網路互通的目的。比如某中學希望將校園網和教師樓LAN連接起來,而校園網和教師樓LAN之間距離為500米,此時可以使用廉價的10base5方法互聯,互聯時使用直徑10mm的50歐姆粗同軸電纜,每個網段允許有100個站點,每個網段最大允許距離為500m,可以由5個500m長的網段和4個中繼器組成,不過這種互聯方案存在一定的局限性,只適合校園內部的區域網互聯,因而無法滿足大學分校區域網互連的需要。
如果是大學校園網,由於有多個分校,希望將每個分校的區域網進行互聯,此時採用無線路由器或無線AP進行互聯,不過無線設備投入成本高,傳輸速率損失嚴重,而且安全性也沒有保障,此時建議採用更為廉價的VPN方案,它可以通過特殊的加密通訊協議,在連接在Internet上的位於不同地方的兩個或多個校園內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它並不需要真正的去鋪設光纜之類的物理線路,這就好比去電信局申請專線,但不用給鋪設線路的費用,也不用購買路由器等硬體設備,而且網路之間的數據交換非常安全,只需選擇支持VPN功能的交換機,防火牆設備,就可以實現多校園網區域網之間的互聯。
在很多大學校園網中,學生寢室、教師宿舍都與主幹網互聯,在上網高峰階段,一些用戶進行BT下載或玩網路游戲,使得區域網資源大量佔用,造成校園網出口帶寬嚴重不足,速度極慢,給正常的工作帶來了嚴重的影響,甚至會造成校園網癱瘓的尷尬局面,為此,校方可以通過在主伺服器上安裝流量控制軟體,讓他們不要使用在線播放音視頻或在線游戲,如發現者,則封IP 斷網24小時,如果覺得佔用系統資源,也可以使用具有網管功能的交換機,通過交換機內置的控製程序,對區域網內的所有機器進行流量許可權限制使用。
在校園區域網中,遠程式控制制可能是最常見的教學應用,它可以提高工作效率,充分發揮校內電教設備的利用率,以及加強校園內電教設備的管理。比如校園廣播系統,可以播放出操、升旗音樂,上下課音樂鈴聲,課間背景音樂,進行德育教育和外語教學、自辦節目等,比如大型活動、臨時通知等,往往需要電教員跑到廣播室放音,而且由於放音人員離現聲較遠,很難看清現場的動態,有時會出現錯誤,帶來不必要損失。遠程式控制制就解決了問題,只須現場有一根網線就可以在現場控制遠在廣播室的電腦放音。如果現場沒有連接到廣播室的話筒線,還可以通過網路上的語音軟體與廣播室的電腦進行對話,達到話筒的功能,聲音同樣能在廣播中聽到。
為了實現所有設備的遠程式控制制,要給每台電腦都裝網卡,接入校園區域網。內部網路布線到每個教室和辦公室,教師每人一台筆記本電腦,區域網內部建議使用一台遠程式控制制伺服器,可以讓兼職的網管教師在自己的辦公室或者學校的其它電腦上完成各項管理工作。實際組網時,主控電腦連接校園廣播自動播放系統(一個由一台電腦通過埠命令管理系統電源開關的單片機。),然後在伺服器、廣播主控電腦、電視編輯機上裝好被控端軟體,添加一個用戶和密碼。安裝語音通話軟體(如MSN、區域網會議系統、企業QQ、NETMEETING等),在其它電腦上安裝主控端軟體,語音通話軟體。如果有通知或者講話,只要在此同時打開兩台電腦的語音軟體就可以了。 在校園網區域網中,經常遇到一些使用和維護上的問題,比如網卡在重啟時正常檢測,但不能同其他機器互聯。這主要是由於子網掩碼或IP地址配置錯誤、網線不通、網路協議不對、路由不對等幾種情況。解決方法是首先ping本網卡的回送地址(127.0.0.1),若通,則說明本機TCP/IP工作正常;若不通,則需重新配置並重新啟動電腦。有些網卡預設設置其速率為100M,也會導致網路不通,需要根據所連交換機的速率,將其速率設置為10M、100M或設成自適應網線速率。
校園網網路安全解決方案
校園網網路是一個分層次的拓撲結構,因此網路的安全防護也需採用分層次的拓撲防護措施。即一個完整的校園網網路信息安全解決方案應該覆蓋網路的各個層次,並且與安全管理相結合。
一、網路信息安全系統設計原則
1.1滿足Internet分級管理需求
1.2需求、風險、代價平衡的原ze
1.3綜合性、整體性原則
1.4可用性原則
1.5分步實施原則
目前,對於新建網路及已投入運行的網路,必須盡快解決網路的安全保密問題,設計時應遵循如下思想:
(1)大幅度地提高系統的安全性和保密性;
(2)保持網路原有的性能特點,即對網路的協議和傳輸具有很好的透明性;
(3)易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
(4)盡量不影響原網路拓撲結構,便於系統及系統功能的擴展;
(5)安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
(6)安全與密碼產品具有合法性,並便於安全管理單位與密碼管理單位的檢查與監督。
基於上述思想,網路信息安全系統應遵循如下設計原則:
滿足網際網路的分級管理需求根據Internet網路規模大、用戶眾多的特點,對Internet/Intranet信息安全實施分級管理的解決方案,將對它的控制點分為三級實施安全管理。
--第一級:中心級網路,主要實現內外網隔離;內外網用戶的訪問控制;內部網的監控;內部網傳輸數據的備份與稽查。
--第二級:部門級,主要實現內部網與外部網用戶的訪問控制;同級部門間的訪問控制;部門網內部的安全審計。
-第三級:終端/個人用戶級,實現部門網內部主機的訪問控制;資料庫及終端信息資源的安全保護。
需求、風險、代價平衡的原則對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
綜合性、整體性原則應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。 可用性原則安全措施需要人為去完成,如果措施過於復雜,要求過高,本身就降低了安全性,如密鑰管理就有類似的問題。其次,措施的採用不能影響系統的正常運行,如不採用或少採用極大地降低運行速度的密碼演算法。 分步實施原則:分級管理分步實施由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
二、網路信息安全系統設計步驟
網路安全需求分析
確立合理的目標基線和安全策略
明確准備付出的代價
制定可行的技術方案
工程實施方案(產品的選購與定製)
制定配套的法規、條例和管理辦法
本方案主要從網路安全需求上進行分析,並基於網路層次結構,提出不同層次與安全強度的校園網網路信息安全解決方案。
三、網路安全需求
確切了解校園網網路信息系統需要解決哪些安全問題是建立合理安全需求的基礎。一般來講,校園網網路信息系統需要解決如下安全問題:
區域網LAN內部的安全問題,包括網段的劃分以及VLAN的實現
在連接Internet時,如何在網路層實現安全
應用系統如何保證安全性l如何防止黑客對網路、主機、伺服器等的入侵
如何實現廣域網信息傳輸的安全保密性
加密系統如何布置,包括建立證書管理中心、應用系統集成加密等
如何實現遠程訪問的安全性
如何評價網路系統的整體安全性
基於這些安全問題的提出,網路信息系統一般應包括如下安全機制:訪問控制、安全檢測、攻擊監控、加密通信、認證、隱藏網路內部信息(如NAT)等。
四、網路安全層次及安全措施
4.1鏈路安全
4.2網路安全
4.3信息安全網路的安全層次分為:鏈路安全、網路安全、信息安全網路的安全層次及在相應層次上採取的安全措施見下表。
信息安全信息傳輸安全(動態安全)數據加密數據完整性鑒別安全管理信息存儲安全(靜態安全)資料庫安全終端安全信息的防泄密信息內容審計用戶鑒別授權(CA)
網路安全訪問控制(防火牆)網路安全檢測入侵檢測(監控) IPSEC(IP安全)審計分析鏈路安全鏈路加密
4.1鏈路安全 鏈路安全保護措施主要是鏈路加密設備,如各種鏈路加密機。它對所有用戶數據一起加密,用戶數據通過通信線路送到另一節點後立即解密。加密後的數據不能進行路由交換。因此,在加密後的數據不需要進行路由交換的情況下,如DDN直通專線用戶就可以選擇路由加密設備。
一般,線路加密產品主要用於電話網、DDN、專線、衛星點對點通信環境,它包括非同步線路密碼機和同步線路密碼機。非同步線路密碼機主要用於電話網,同步線路密碼機則可用於許多專線環境。
4.2網路安全 網路的安全問題主要是由網路的開放性、無邊界性、自由性造成的,所以我們考慮校園網信息網路的安全首先應該考慮把被保護的網路由開放的、無邊界的網路環境中獨立出來,成為可管理、可控制的安全的內部網路。也只有做到這一點,實現信息網路的安全才有可能,而最基本的分隔手段就是防火牆。利用防火牆,可以實現內部網(信任網路)與外部不可信任網路(如網際網路)之間或是內部網不同網路安全域的隔離與訪問控制,保證網路系統及網路服務的可用性。
目前市場上成熟的防火牆主要有如下幾類,一類是包過濾型防火牆,一類是應用代理型防火牆,還有一類是復合型防火牆,即包過濾與應用代理型防火牆的結合。包過濾防火牆通常基於IP數據包的源或目標IP地址、協議類型、協議埠號等對數據流進行過濾,包過濾防火牆比其它模式的防火牆有著更高的網路性能和更好的應用程序透明性。代理型防火牆作用在應用層,一般可以對多種應用協議進行代理,並對用戶身份進行鑒別,並提供比較詳細的日誌和審計信息;其缺點是對每種應用協議都需提供相應的代理程序,並且基於代理的防火牆常常會使網路性能明顯下降。應指出的是,在網路安全問題日益突出的今天,防火牆技術發展迅速,目前一些領先防火牆廠商已將很多網路邊緣功能及網管功能集成到防火牆當中,這些功能有:VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。
信息系統是動態發展變化的,確定的安全策略與選擇合適的防火牆產品只是一個良好的開端,但它只能解決60%-80%的安全問題,其餘的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、後續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等,這些都是對信息系統安全的挑戰。
信息系統的安全應該是一個動態的發展過程,應該是一種檢測——監視——安全響應的循環過程。動態發展是系統安全的規律。網路安全風險評估和入侵監測產品正是實現這一目標的必不可少的環節。
網路安全檢測是對網路進行風險評估的重要措施,通過使用網路安全性分析系統,可以及時發現網路系統中最薄弱的環節,檢查報告系統存在的弱點、漏洞與不安全配置,建議補救措施和安全策略,達到增強網路安全性的目的。
入侵檢測系統是實時網路違規自動識別和響應系統。它位於有敏感數據需要保護的網路上或網路上任何有風險存在的地方,通過實時截獲網路數據流,能夠識別、記錄入侵和破壞性代碼流,尋找網路違規模式和未授權的網路訪問嘗試。當發現網路違規模式和未授權的網路訪問時,入侵檢測系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,自動阻斷通信連接或執行用戶自定義的安全策略等。
另外,使用IP信道加密技術(IPSEC)也可以在兩個網路結點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數據完整性機制。利用IP封裝凈載(IP ESP)可以實現通信內容的保密。IP信道加密技術的優點是對應用透明,可以提供主機到主機的安全服務,並通過建立安全的IP隧道實現虛擬專網即VPN。目前基於IPSEC的安全產品主要有網路加密機,另外,有些防火牆也提供相同功能。
五、校園網網路安全解決方案
5.1基本防護體系(包過濾防火牆+NAT+計費)
用戶需求:全部或部分滿足以下各項·解決內外網路邊界安全,防止外部攻擊,保護內部網路·解決內部網安全問題,隔離內部不同網段,建立VLAN ·根據IP地址、協議類型、埠進行過濾·內外網路採用兩套IP地址,需要網路地址轉換NAT功能·支持安全伺服器網路SSN ·通過IP地址與MAC地址對應防止IP欺騙·基於IP地址計費·基於IP地址的流量統計與限制·基於IP地址的黑白名單。
·防火牆運行在安全操作系統之上·防火牆為獨立硬體·防火牆無IP地址解決方案:採用網路衛士防火牆PL FW1000
5.2標准防護體系(包過濾防火牆+NAT+計費+代理+VPN)
用戶需求:在基本防護體系配置的基礎之上,全部或部分滿足以下各項·提供應用代理服務,隔離內外網路·用戶身份鑒別·許可權控制·基於用戶計費·基於用戶的流量統計與控制·基於WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護能力,防範對防火牆的常見攻擊
解決方案:
(1)選用網路衛士防火牆PL FW2000 (2)防火牆基本配置+網路加密機(IP協議加密機)
5.3強化防護體系(包過濾+NAT+計費+代理+VPN+網路安全檢測+監控) 用戶需求:在標准防護體系配置的基礎之上,全部或部分滿足以下各項·網路安全性檢測(包括伺服器、防火牆、主機及其它TCP/IP相關設備) ·操作系統安全性檢測·網路監控與入侵檢測
解決方案:選用網路衛士防火牆PL FW2000+網路安全分析系統+網路監控器
⑻ 網路安全問題
電信系統網路解決方案
第一章 前 言
第二章 網路安全概述
第三章 網路安全解決方案
第四章 典型應用案例
第五章 未來網路安全解決方案發展趨勢
第一章 前 言
當今的網路運營商正在經歷一個令人振奮的信息爆炸時代,網路骨幹帶寬平均每六到九個月就要增加一倍。數據業務作為其中起主導作用的主要業務類型,要求並驅動網路結構開始發生根本性的改變。光互聯網的出現為基於IP技術的網路應用奠定了新的基礎。伴隨網路的普及,信息網路技術的應用、關鍵業務系統擴展,電信部門業務系統安全成為影響網路效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。由於國際形勢的變化,加劇了爆發"網路戰爭"的可能性,保障網路及信息安全直接關繫到國家的經濟安全甚至國家安全。因此如何使信息網路系統不受黑客和間諜的入侵,已成為國家電信基礎網路健康發展所要考慮的重要問題。
在新的電信市場環境中,需求的多元化和信息消費的個性化逐漸成為必然趨勢,這一點在數據通信領域體現得尤為明顯。經過幾年努力,公用數據通信網路在規模上和技術層次上都有了一個飛躍,用戶數持續高速增長,信息業務用戶發展尤為迅猛,全國性大集團性用戶不斷增加,並且開始向企業用戶轉移;政府上網工程進展順利,電子商務已全面啟動,中國電信安全認證體系通過了中國密碼管理委員會和信息產業部舉行的聯合鑒定,並與金融部門開展了有效的合作。電信同時提供Internet接入業務,IP電話業務以及其他業務.該IP承載網承載圖象、語音和數據的統一平台,強調Qos,VPN和計費等,成為新時代的多業務承載網。中國電信數據通信的發展定位於網路服務,實現個性化的服務。事實上,這一類網路功能非常豐富,如儲值卡業務、電子商務認證平台、虛擬專用網等。而這一切都依賴於網路安全的保障,如果沒有安全,個性化服務就根本無從談起。只有電信的基礎平台完善了,功能強化了,安全問題得到保障了,才能夠提供真正個性化的服務。
由於電信部門的特殊性,傳遞重要信息、是整個國民通信系統的基礎。它的安全性是尤其重要的。由於我們的一些技術和國外還有一定差距,國內現有的或正在建設中的網路,採用的網路設備和網路安全產品幾乎全是國外廠家的產品。而只有使用國內自主研製的信息安全產品、具有自主版權的安全產品,才能真正掌握信息戰場上的主動權,才能從根本上防範來自各種非法的惡意攻擊和破壞。現今大多數計算機網路都把安全機制建立在網路層安全機制上,認為網路安全就僅僅是防火牆、加密機等設備。隨著網路的互聯程度的擴大,具體應用的多元化,這種安全機制對於網路環境來講是十分有限的。面對種種威脅,必須採取有力的措施來保證計算機網路的安全。必須對網路的情況做深入的了解,對安全要求做嚴謹的分析,提出一個完善的安全解決方案。本方案根據電信網路的具體網路環境和具體的應用,介紹如何建立一套針對電信部門的完整的網路安全解決方案。
第二章 網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
⑼ 有關中小型區域網的網路安全解決方案
隨著區域網的規模不斷擴大,區域網的建設已經成為企事業單位以及政府機關信息化的重要組成部分,然而,區域網存在的安全隱患給信息化建設的進一步推進帶來了巨大的阻礙。因此,必須對於區域網存在的安全隱患提出科學有效的防治策略。
1 區域網存在的安全隱患
目前,一些區域網內部的計算機和互聯網相連,卻並未安裝相應的比較高級的殺毒軟體及防火牆,一些計算機系統或多或少都存在著各種的漏洞。區域網面臨著黑客攻擊、目錄共享導致信息的外泄、計算機操作人員的安全意識不足等安全隱患。
2 針對於區域網存在的安全隱患的防治策略
2.1 對區域網內部重要數據進行備份,做好網路安全協議的配置
區域網內部存在著非常重要的信息,必須及時對這些信息進行完整的備份,以便在出現問題的時候及時恢復。備份一方麵包括對區域網內部的重要數據的備份,另一方面,也包括對於核心設備和線路的備份。對於區域網內部的網頁伺服器,一定要安裝網頁防篡改系統,從而避免網頁被惡意篡改。對於區域網中的核心設備的系統配置必須進行定期和不定期的檢查和備份,從而在設備發生問題的時候,可以進行緊急恢復。對於區域網內部的核心線路,應該保持完備和做出適當的備份,從而在一些線路發生問題的時候,可以及時採用備份線路來維持整個區域網的正常工作。
TCP作為兩台計算機設備之間保證數據順序傳輸的協議,是面向連接的,它需要在連接雙方都同意的情況下才能進行通信。任何兩台設備之間欲建立TCP連接都需要一個雙方確認的起始過程,即「三次握手」。
2.2 建立區域網統一防病毒系統
傳統的單機防病毒形式已經不能滿足區域網安全的需要,必須建立區域網統一防病毒系統,利用全方位的防病毒產品,對於區域網內部各個可能的病毒攻擊點都進行對應的防病毒軟體的安裝,來實現全方位、多層次的病毒防治功能。與此同時,實現區域網統一防病毒系統的定期自動升級,更好的避免病毒的攻擊。
具體來說,區域網統一防病毒系統應該包括防病毒伺服器和客戶端這兩個模塊。防病毒伺服器是整個系統的控制中心,負責全面防治病毒。通過客戶端安裝或者網路分發的方式,可以在所有的工作站上分別安裝客戶端軟體,同時設置所有的工作站都必須接受伺服器的統一管理和部署。區域網管理員僅僅通過控制台軟體,就可以實現統一清除和防治區域網內部的所有計算機存在的病毒的目標,使整個區域網內部病毒的爆發和蔓延得到有效的控制。一旦出現新病毒庫,那麼,僅僅更新防病毒伺服器上的病毒庫就可以了,客戶端能夠自動在防病毒伺服器上下載並更新病毒庫。區域網統一防病毒系統的病毒庫能夠實現及時方便的更新,也可以實現統一徹底的病毒防殺,同時具備操作簡單快捷的特點,因此,是非常有利於區域網的病毒防治的。360安全衛士就是一個很好的區域網防病毒軟體。
2.3 合理安裝配置防火牆
防火牆是一種非常科學有效且應用廣泛的保證區域網安全的軟體,有利於避免計算機互聯網上的不安全因素擴散到區域網內部。通過合理安裝配置防火牆,可以在利用區域網進行通訊的時候執行一種訪問控制列表,允許合法的人和數據來訪問區域網,並且拒絕非法的用戶和數據對於區域網的訪問,從而使黑客對於區域網的攻擊行為得到最大限度的阻止,避免黑客對於區域網上的重要信息的隨意更改、移動甚至刪除。為了切實做好區域網的安全工作,必須按照區域網的安裝需求,嚴格配置防火牆內部的伺服器和客戶端的各種規則,PIX是一款實現對於區域網防火牆的科學有效的方案。PIX是CISCO公司開發的防火牆系列設備,主要起到策略過濾,隔離內外網,根據用戶實際需求設置DMZ(停火區)。
2.4 配備入侵檢測系統和漏洞掃描系統
入侵檢測系統是防火牆的必要補充部分,能夠實現更加全面的安全管理功能,有利於區域網更好的應對黑客攻擊。入侵檢測系統可以將內外網之間傳輸的數據進行實時的捕獲,通過內置的攻擊特徵庫,利用模式匹配和智能分析的方法,對於區域網內部可能出現的入侵行為和異常現象進行實時監測,同時進行記錄。另外,入侵檢測系統也能夠產生實時報警,從而有利於區域網管理員及時進行處理和應對。
另外,也要配備漏洞掃描系統。在計算機網路飛速發展的形勢下,區域網中也會不可避免的產生各種各樣的安全漏洞或者「後門」程序。為了進行有效的應對,必須配備現代化的漏洞掃描系統來對區域網工作站、伺服器等進行定期以及不定期的安全檢查,同時提供非常具體的安全性分析數據,對於區域網內部存在的各種安全漏洞都及時進行修復。
Microsoft基準安全分析器(Microsoft Baseline Security Analyzer,MBSA)是微軟公司整個安全部署方案中的一種,可以從微軟公司的官方網站http://technet.microsoft.com/zh-cn/security/default.aspx下載。MBSA將掃描基於Windows的計算機,並檢查操作系統和已安裝的其他組件(如IIS和SQL Server),以發現安全方面的配置錯誤,並及時通過推薦的安全更新進行修補。
通過多種形式的安全產品的配備,可以有效防護、預警和監控區域網存在的各種安全隱患,有效阻斷黑客的非法訪問以及不健康的信息,並且也能夠及時發現和處理區域網中存在的故障。
2.5 運用VLAN技術
VLAN 的英文全稱是Virtual Local Area Network,也就是虛擬區域網,它是一種實現虛擬工作組的先進技術,能夠通過將區域網內的設備對於整個區域網進行邏輯分段,產生多個不同的網段。VLAN 技術的關鍵就是對區域網進行分段,將整個區域網劃分為多個不同的VLAN,它可以按照各種各樣的應用業務和對應的安全級別,通過劃分VLAN來實現隔離,也能夠進行相互間的訪問控制,對於限制非法用戶對於區域網的訪問起到非常巨大的作用。對於利用ATM或者以太交換方式的交換式區域網技術的區域網絡,能夠通過VLAN 技術的有效利用來切實加強對於內部網路的管理,從而更加有效的保障區域網安全。
2.6 運用訪問控制技術
通過訪問控制技術的運用,可以保證區域網內部的數據不被非法使用或者非法訪問。一般來說,用戶的入網訪問控制主要包括用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳戶的預設限制檢查等幾個方面。一旦用戶連接並且登陸區域網,區域網管理員就能夠自動授予該用戶適當的訪問控制許可權,用戶僅僅可以在它們自身的許可權范圍內進行數據的增加、修改、刪除等操作。因此,通過這種方式,區域網內部的數據只能夠被授權用戶進行訪問。當一個主體訪問一個客體時,必須符合各自的安全級別需求,應遵守如下兩個原則:
①Read Down:主體安全級別必須高於被讀取對象的原則。
②Write up:主體安全級別必須低於被寫入對象的級別。
應該注意的是,對於訪問控制許可權的設定一定要嚴格按照最小許可權原則,也就是說,用戶所擁有的許可權不能超過他實現某個操作所必須的許可權。只有明確用戶的操作,找出實現用戶操作的最小許可權集,根據這個最小許可權集,對用戶所擁有的許可權進行限制,才能實現最小許可權原則。
2.7 建立良好的人才隊伍,提高計算機操作人員的安全意識
為了保證區域網的安全,建立良好的人才隊伍是非常重要的。通過具備較高的專業水平、較好的業務能力、較強的工作責任心的人才隊伍,可以做好區域網的合理規劃與建設,切實保證區域網日常的維護及管理工作,利用最為先進的技術來防治區域網的各種安全隱患。
與此同時,也應該提高計算機操作人員的安全意識。可以加強有關區域網安全的教育培訓,建立健全科學合理的規章制度,切實提高所有人的安全意識。要求計算機操作人員必須規范操作各種區域網設備,合理設置設備以及軟體的密碼,特別是伺服器密碼,必須是系統管理員才能掌握。
3 結束語
針對於區域網存在的安全隱患的防治工作不是一勞永逸的,而是一項復雜艱巨的系統工程。在進行區域網的建設和管理過程中,一定要對於區域網中所存在的各種安全隱患進行及時分析,採取最有效的措施來保證區域網的正常工作,為單位的信息化建設提供強有力的支撐力量。