时间:2023-03-20 16:12:17
导语:在企业网络安全论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
保护企业网络系统的软件、硬件及数据不遭受破坏、更改、泄露,信息系统连续可靠地运行是企业网络安全的基本要求。企业网络安全分为物理安全和逻辑安全,逻辑安全是对信息的保密性、完整性和可用性的保护。物理安全是对计算机系统、通信系统、存储系统和人员采取安全措施以确保信息不会丢失、泄漏等。目前企业网络中缺乏专门的安全管理人员,网络信息化管理制度也不健全,导致了部分人为因素引发的企业网络安全事故。因此企业网络安全必须从技术和管理两个方面进行。
2企业网络安全所面临的威胁
企业网络安全所面临的威胁除了技术方面的因素外,还有一部分是管理不善引起的。企业网络安全面临的威胁主要来自以下两个方面。
2.1缺乏专门的管理人员和相关的管理制度
俗话说“三分技术,七分管理”,管理是企业信息化中重要的组成部分。企业信息化过程中缺乏专门的管理人员和完善的管理制度,都可能引起企业网络安全的风险,给企业网络造成安全事故。由于大部分企业没有专门的网络安全管理人员,相关的网络管理制度也不完善,实际运行过程中没有严格要求按照企业的网络安全管理制度执行。以至于部分企业选用了最先进的网络安全设备,但是其管理员账号一直使用默认的账号,密码使用简单的容易被猜中的密码,甚至就是默认的密码。由于没有按照企业信息化安全管理制度中密码管理的相关条款进行操作,给系统留下巨大的安全隐患,导致安全事故发生。
2.2技术因素导致的主要安全威胁
企业网络应用是架构在现有的网络信息技术基础之上,对技术的依赖程度非常高,因此不可避免的会有网络信息技术的缺陷引发相关的安全问题,主要表现在以下几个方面。
2.2.1计算机病毒
计算机病毒是一组具有特殊的破坏功能的程序代码或指令。它可以潜伏在计算机的程序或存储介质中,当条件满足时就会被激活。企业网络中的计算机一旦感染病毒,会迅速通过网络在企业内部传播,可能导致整个企业网络瘫痪或者数据严重丢失。
2.2.2软件系统漏洞
软件的安全漏洞会被一些别有用心的用户利用,使软件执行一些被精心设计的恶意代码。一旦软件中的安全漏洞被利用,就可能引起机密数据泄露或系统控制权被获取,从而引发安全事故。
3企业网络安全的防护措施
3.1配备良好的管理制度和专门的管理人员
企业信息化管理部门要建立完整的企业信息安全防护制度,结合企业自身的信息系统建设和应用的进程,统筹规划,分步实施。做好安全风险的评估、建立信息安全防护体系、根据信息安全策略制定管理制度、提高安全管理水平。企业内部的用户行为约束必须通过严格的管理制度进行规范。同时建立安全事件应急响应机制。配备专门的网络安全管理员,负责企业网络的系统安全事务。及时根据企业网络的动向,建立以预防为主,事后补救为辅的安全策略。细化安全管理员工作细则,如日常操作系统维护、漏洞检测及修补、应用系统的安全补丁、病毒防治等工作,并建立工作日志。并对系统记录文件进行存档管理。良好的日志和存档管理,可以为预测攻击,定位攻击,以及遭受攻击后追查攻击者提供有力的支持。
3.2防病毒技术
就目前企业网络安全的情况来看,网络安全管理员主要是做好网络防病毒的工作,主流的技术有分布式杀毒技术、数字免疫系统技术、主动内核技术等几种。企业需要根据自身的实际情况,灵活选用,确保杀毒机制的有效运行。
3.3系统漏洞修补
现代软件规模越来越大,功能越来越多,其中隐藏的系统漏洞也可能越来越多。不仅仅是应用软件本身的漏洞,还有可能来自操作系统,数据库系统等底层的系统软件的漏洞引发的系列问题。因此解决系统漏洞的根本途径是不断地更新的系统的补丁。既可以购买专业的第三方补丁修补系统,也可以使用软件厂商自己提供的系统补丁升级工具。确保操作系统,数据系统等底层的系统软件是最新的,管理员还要及时关注应用系统厂商提供的升级补丁的信息,确保发现漏洞的第一时间更新补丁,将系统漏洞的危害降到最低。
4结束语
安全评价的关键与基础是选取与确立评价的指标体系,它对评价的结果是否符合实际情况至关重要。化工企业安全评价指标体系应尽可能反映化工企业的主要特征和基本状况。评价过程中指标体系的要素组成非常关键,如果选取的要素太多,有可能使评价指标体系更加庞大和冗杂,从而增加评价的困难程度,甚至会使一些重要因素被忽略;如果指标因素太少,则难以较完整地反映被评价系统的客观实际情况。•33•通过查阅研究某大型炼油化工企业的相关文献和资料[4],由人、机和环境3个方面构成的系统模型出发,把生产系统所有重要环节包含其中,从而建立出化工企业的安全评价指标体系如图1和表1至表4所示。
2化工企业的遗传神经网络安全评价模型
2.1遗传神经网络遗传算法优化神经网络的方法主要有2种:对神经网络的初始权值和阈值进行优化;对神经网络的结构进行优化[5]。本文在保持神经网络的结构不变的情况下,用遗传算法对BP神经网络初始权值和阈值进行优化。
2.2遗传神经网络评价模型遗传神经网络优化的数学模型[6]如下:本文构建的遗传神经网络模型的运行过程如下:(1)初始化BP神经网络。(2)把BP神经网络的全部权值与阈值实数编码,确定其长度l,确定其为遗传算法的初始种群个体。(3)设置遗传算法的相关参数以及终止条件,执行遗传算法;遗传算法包括对群体中个体适应度进行评价,执行选择、交叉、变异遗传操作,进化生成新的群体;反复操作至设定的进化代数,最终取得最佳染色体个体。(4)把最佳染色体个体解码,分解为BP网络对应的权值、阈值,输入训练样本,利用BP网络进行训练。(5)得到训练好的BP神经网络,则可输入实例样本进行评价。
3遗传神经网络评价模型在化工企业的应用
3.1学习样本的准备根据前文所确定的评价指标体系和对某大型炼油化工有限公司成氨分厂提供的空气分离、渣油气化、碳黑回收、一氧化碳变换、甲醇洗涤、液氮洗涤等工序的安全原始数据,参考文献中化工企业安全评价指标取值标准,进行分析和整理,得出11个实例样本,如表5所示。选择10个样本作为遗传神经网络的训练样本,1个样本作为测试样本。
3.2BP网络结构的确定BP网络拓扑结构一般是由网络层数、输入层节点数、隐含层节点数、隐含层数以及输出层节点数等来确定。本文建立的遗传神经网络模型是根据经验来确定神经网络的层数,一般选取BP神经网络的层数为3层[7]。通过化工企业安全评价指标的分析,得出BP神经网络输入层神经元数目为评价指标的总数12+6+8+5=31。模型最后输出的结果为综合安全评价结果,因此,神经网络的输出层节点数确定为1。隐含层中节点数的范围通过经验公式来确定,本文在其确定范围内选12。依据训练样本的规模,设定学习率为0.1,最大训练误差值设为10-5,循环学习次数为1000次。网络输出层为1个节点,即化工企业的安全评价结果。化工企业安全等级一般分为5级[7],如表6所示。
3.3遗传算法优化遗传算法中,参数设定如下:种群规模设为300,交叉概率设为0.7,进化代数设为100,变异率设为0.05。本文运用MATLAB软件中的遗传算法工具箱gads,在GUI操作界面中输入以上参数,并输入适应度函数,对神经网络的权阈值进行优化。经过遗传操作后,运行遗传算法工具箱,则可得出最佳适应度曲线图和最佳个体图(图2),得到最佳适应度个体,将其进行解码,作为该网络的初始权值和阈值赋给BP神经网络。
3.4GA-BP神经网络训练在MATLAB界面中编程语言,得到输出向量和网络均方差变化图。训练结果与期望输出见表7,BP网络训练过程如图3所示。从训练结果可以看出,该网络的误差值不超过10-5,满足设定要求。用该网络对实例样本进行安全评价,得到结果为3.9956,对照安全评价输出结果等级表为较安全,与目标值吻合。从而训练后的网络稳定性得到验证,可以用于化工企业安全评价。
4结论
关键词:分布式网络;网络安全;网络管理
1 引言
随着网络的广泛普及和应用,政府、军队大量的机密文件和重要数据,企业的商业秘密乃至个人信息都存储在计算机中,一些不法之徒千方百计地“闯入”网络,窃取和破坏机密材料及个人信息。据专家分析,我国80%的网站是不安全的,40%以上的网站可以轻易的被入侵。网络给人们生活带来不愉快和尴尬的事例举不胜举:存储在计算机中的信息不知不觉被删除;在数据库中的记录不知道何时被修改;正在使用的计算机却不知道何故突然“死机”等等诸如此类的安全威胁事件数不胜数。因此,网络信息的安全性具有举足轻重的作用。
本论文主要针对分布式网络的信息安全展开分析讨论,通过对分布式网络安全管理系统的设计研究,以期找到可供借鉴的提高分布式网络信息安全水平的防范手段或方法,并和广大同行分享。
2 网络安全管理技术概述
在当今这个信息化社会中,一方面,硬件平台,操作系统平台,应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面,现代社会生活对网络的高度依赖,使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络安全技术中人们公认的关键技术。
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重,网络安全管理还逐渐成为网络管理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”,各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。因此,用户的网络管理需要建立一种新型的整体网络安全管理解决方案—分布式网络安全管理平台来总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可控制性、可管理性,降低用户的整体安全管理开销。
3 分布式网络安全管理系统的设计
3.1 分布式网络安全管理系统架构分析
随着Internet技术的发展,现在的企业网络规模在不断扩大,设备物理分布变得十分复杂,许多企业都设有专门的网络管理部门,来应对企业网络中可能出现的问题,以保证企业业务的正常运行。这些网络管理部门的工作人员可能会根据需要分布在不同的业务部门中,甚至不同的城市中,这就导致原有的集中式网络设备平台管理已经不能满足企业的需求。复合式网络安全管理平台必须能够实现远程、多用户、分级式管理,同时要保证整个平台系统的安全性。
针对以上需求,本网络安全管理平台设计为一种网络远程管理系统,采取服务器和客户端的模式。
(1) 分布式网络安全管理平台服务器端
分布式网络安全管理平台的服务器端是整个管理系统的核心,它位于要管理的企业网络内部的一台服务器上,掌控着所有的网络资源,对被管网络资源的操作都是由平台服务器端直接完成。
分布式网络安全管理平台的各种管理功能模块是相对独立存在的,而服务器端相当于一个大容器,当需要某种管理功能时,就可以通过一定的方法,将管理模块动态加载到服务器端上。管理模块完成管理的具体功能,管理模块既可以单独完成某种管理功能,也可以通过服务器端提供的服务,协作完成特定的管理功能。服务器端还提供了一个公共的通信接口,通过这个通信接口,服务器端上的管理功能模块就可以实现与客户端的交互。
(2) 分布式网络安全管理平台客户端
客户端相当于一个个企业网络的管理员,这些管理员己经被分配给不同的用户名和密码,从而对应于不同的平台操作权限。管理员可以通过局域网或者Internet登陆到管理平台的服务器。_服务器端实现网络安全管理平台的各种管理功能。每当有用户登陆到服务器时,首先服务器端有一个用户鉴别和权限判断,通过后,根据权限不同的平台管理信息被传送回客户端,客户端将这些管理信息显示出来。如果管理员在客户端进行了某些操作,客户端会将这些操作信息发送到服务器,服务器对用户和操作进行权限鉴定,通过后,服务器就调用相应的管理功能模块来实现操作,并将结果返回给客户端,客户端进行相应的显示。
3.2 分布式网络的安全策略管理设计
策略管理的目标是可以通过集中的方式高效处理大量防火墙的策略配 置问题。随着网络规模与业务模式的不断增长变化,对IT基础设施的全局统一管理越来越成为企业IT部门的重要职责;策略的集中管理更有效的描述了全网设备的基本情况,便于设备间的协作、控制,能够提高问题诊断能力,提高运营的可靠性;另一方面,也极大的减轻了管理员的工作强度,使其工作效率大幅度提高。
策略管理并不是系统中孤立的模块,它与节点管理、权限管理有着紧密的联系。由于节点管理将全网划分为若干管理域,每个管理域中还有相应的下级组织部门,因此策略管理首先与节点信息相联系,这也就隐含了策略的层级配置管理。
另外,策略是由某个具有一定权限的管理员对某个管理域或设备制订的,因此策略是否能定制成功需要调用权限管理中的功能加以判定,因此隐含了策略的可行性管理。全网策略被统一存储,结合节点管理,策略存储有它自身的结构特点,这些属于策略的存储管理。
策略按照一定的时间、顺序被部署到具体的设备上,无论策略是对管理域定制的,还是对设备制订的,所有相关的策略最终都要被下发的设备中去,下发的方式能够根据实际网络拓扑的变化而做适应性调整,这些属于策略的管理。
3.3 分布式网络信息安全构建技术
(1) 构筑入侵检测系统(IDS)
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
(2) 构筑入侵防御(IPS)
入侵防御是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而可以从根本上避免黑客的攻击。
(3) 采用邮件防病毒服务器
邮件防病毒服务器安装位置一般是邮件服务器与防火墙之间。邮件防病毒软件的作用:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件。
4 结语
在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天,分布式网络由于信息传输应用范围的不断扩大,其信息安全性日益凸显,本论文正是在这样的背景下,重点对分布式网络的信息安全管理系统展开了分析讨论,相信通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,分布式计算机网络的信息安全是完全可以实现的。
论文关键词:网络:安全技术;管理措施
1前言
随着企业科学管理水平的提高.企业管理信息化越来越受到企业的重视.企业ERP(企业资源计划)系统、企业电子邮局系统和OA办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。企业局域网与国际互联网(Internet)联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时.也面临着外部环境——国际互联网的种种危险。如病毒,黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题
2网络安全及影响网络安全的因素
网络安全一直都是困扰企业用户的一道难题.影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下几个方面:
2.1外网安全。骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁
2.2内网安全最新调查显示.在受调查的企业中60%以上的员工利用网络处理私人事务对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业局域网络资源、并引入病毒和间谍.或者使得不法员工可以通过网络泄漏企业机密
2.3内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享.又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题各地机构与总部之间的网络连接安全直接影响企业的高效运作
3企业局域网安全方案
为了更好的解决上述问题.确保网络信息的安全,企业应建立完善的安全保障体系该体系应包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全.网络安全管理则侧重于内部人员操作使用的管理.采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。
3.1企业的网络安全技术防护体系
包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控。
1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系.需要同时采用基于网络和基于主机的入侵检测系统首先.在校园网比较重要的网段中放置基于网络的入侵检测产品.不停地监视网段中的各种数据包.如果数据包与入侵检测系统中的某些规则吻合.就会发出警报或者直接切断网络的连接其次.在重要的主机上(如W WW服务器,E—mail服务器,FTP服务器)安装基于主机的入侵检测系统.对该主机的网络实时连接以及系统审
计日志进行智能分析和判断.如果其中主体活动十分可疑.入侵检测系统就会采取相应措施
2)安全访问控制系统针对企业局域网络系统的安全威胁。必须建立整体的、卓有成效的安全策略.尤其是在访问控制的管理与技术方面需要制定相应的策略.以保护系统内的各种资源不遭到自然与人为的破坏.维护局域网的安全
3)漏洞扫描系统。解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具.利用优化系统配置和打补丁等各种方式.最大可能地弥补最新的安全漏洞并消除安全隐患.
4)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系.特别是针对重要的网段和服务器.要进行彻底堵截.
5)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略.决定哪些内部站点允许外界访问和允许访问外界.从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的服务器、E—mail服务器、信息服务器有关的数据包通过。其他所有类型的数据包都被丢弃.从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内.
6)接入认证系统对计算机终端实行实名制度.固定IP、绑定MAC地址.结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度.未经过安全认证的计算机不能接人企业局域网络
7)电子文档保护系统。企业重要信息整个生命周期(信息过程、信息操作过程、信息传输过程、信息存储过程、信息销毁过程)得到全程透明加密保护,保证只用合法的用户才能通过认证、授权访问涉密文件。非法用户无法在信息的产生到销毁过程的任何环节窃取、拷贝、打印、另存、涉密文件,阻断一切可能的泄密路径.有效防护各种主动、被动泄密事件的发生。
8)网络行为监控系统网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定.对内网用户进行管理的一种技术手段.主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。
3.2企业局域网安全管理措施
有了先进完善的网络安全技术保护体系.如果日常的安全管理跟不上.同样也不能保证企业网络的“高枕无忧”:可以说规划制定一套完整的安全管理措施是网络安全技术保护体系的补充.它会帮助校正企业网络管理上的一些常见但是有威胁性的漏洞。它主要包括以下内容: 1)随着企业局域网的不断应用.应当同步规划网络安全体系的技术更新同时.为了避免在紧急情况下.预先制定的安全体系无法发挥作用时.应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门.事先做好多级的安全响应方案.才能在企业网络遇到毁灭性破坏时将损失降低到最低.并能尽快恢复网络到正常状态;2)扎实做好网络安全的基础防护工作:①服务器应当安装干净的操作系统.不需要的服务一律不装.同时要重视网络终端的安全配置.防止它们成为黑客和病毒的跳板:②遵循“用户权限最小化”的网络配置原则.设置重要文件的访问权限.关闭不必要的端口,专用主机只开专用功能等;③下载安装最新的操作系统、应用软件和升级补丁对系统进行完整性检查.定期检查用户的脆弱口令.并通知用户尽快修改:④制定完整的系统数据备份计划.并严格实施,确保系统数据库的可靠性和完整性:3)对各类恶意攻击要有积极的响应措施制定详尽的入侵应急措施以及汇报制度。发现入侵迹象.尽力定位入侵者的位置,如有必要。断开网络连接在服务主机不能继续服务的情况下.应该有能力从备份磁盘中恢复服务到备份主机上; 4)建立完善的日志监控措施,加强日志记录.以报告网络的异常以及跟踪入侵者的踪迹;(5)制定并贯彻安全管理制度。如制定计算机安全管理制度、机房管理制度、管理员网络维护管理制度等.约束普通用户等网络访问者.督促管理员很好地完成自身的工作,增强大家的网络安全意识.防止因粗心大意或不贯彻制度而导致安全事故.尤其要注意制度的监督贯彻执行.否则就形同虚设。
关键词:计算机教学资源网络;网络安全;SSL VPN
中图分类号:TP258.6文献标识码:A文章编号:1007-9599 (2012) 03-0000-02
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校园网计算机教学系统面临的安全风险分析
随着国家教育事业的快速发展以及IT技术的迅猛发展,人们的生产、生活方式发生了翻天覆地的变化,传统的教室内黑板面授教学模式已经不能完全满足当代的教学工作,必须有一种新的教学方式来弥补传统教学模式单一的不足,计算机教学应运而生,特别是计算机多媒体教学。计算机教学方式中,学习的人可以随时随地的学习,不受时间和空间的限制,并且具有学习成本低廉等一系列优点,因此计算机教学受到越来越多的欢迎。
为方便教师和学生等对教学资源的外部访问,存储有教学资源的网络大多与互联网相连,难免会受到来自于网络内部和外部的攻击,计算机网络的大多设备或软件为国外生产,其中可能存在一些后门程序,操作系统、应用系统等都存在大量的漏洞可以让攻击者利用,计算机病毒等恶意程序、SQL注入攻击、跨站脚本攻击、DDOS攻击、钓鱼网站的泛滥让校园网的安全形式不容乐观。
校园网中,用户有学生、教师、外部学习者等主体,教学资源的访问主体的身份不好控制、资源访问控制困难,很难让指定的用户只能访问指定的资源,不能访问其它非授权访问资源、用户对资源的访问不具有抗抵赖等问题。
校园网是学校的门户,是学校的形象窗口,是学校赖以生存的生产资料的一部分,如果遭到恶意攻击,导致不能正常对外部提供服务,将对学校造成严重损失。
二、SSL VPN简介
VPN(Virtual Private Network虚拟专用网络)[1]是一种在公共的网络基础平台(如internet)上建立专用的数据通信网络的技术。VPN通过对数据包进行加密和封包,在公共网络基础平台上构建出安全、可靠的专用隧道,使私有数据在公共网络上安全传输。用户使用VPN技术,不需要建设自己的专用网络,节省投资,使用便捷,VPN技术因而获得了广泛的应用。
VPN技术发展至今,产生了多个种类,有工作在2层的L2TP VPN,工作在3层的IPsec VPN,工作在传输层和应用层之间的SSL(Secure Socket Layer安全套接层)VPN,基于虚拟路由表和标签转发的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用户通过公共网络(如internet)接入业务网络,在远程接入上应用广泛。
SSL是一个独立于平台并独立于应用的协议,用户保护基于TCP的应用。在TCP/IP四层架构中,SSL在传输层之上,应用层之下,像TCP连接所连接的套接字一样工作。
SSL VPN技术帮助用户使用标准的Web浏览器就可以通过公共网络平台接入所要访问的远程资源。在用户的计算机上,不需要安装客户端软件及进行复杂的配置,大大方便了用户,仅仅通过一台接入了Internet的计算机就能访问远程资源。这为企业及政府提高效率也带来了方便。
用户所要访问的资源位于企业网或者政务网内部,在此情况下,需要部署SSL VPN网关在企业网或者政务网的边缘,介于服务器与远程用户之间,控制二者的通信。如下图所示:
SSL VPN网关除了作为隧道的终点,还要执行以下三种功能:,应用转换、端口转发[2]。
1.:它将来自远端浏览器的页面请求(采用
关键词:VPN网络,视频监控系统
背景需求分析
近年来,数字视频监控系统以其控制灵活、信息容量大、存储和检索便利等优点逐步取代了传统的模拟视频监控系统,被广泛应用于监控、安防、质检等方面。随着计算机及网络技术的发展、普及和网络带宽的迅速扩大,视频监控已经发展到了网络多媒体监控系统,即将数字视频监控技术与网络技术相结合,在现场监控主机无人职守情况下,实现局域网或Internet远程监控的功能。如此一来,将监控信息从监控中心释放出来,从而提高了治理水平和效率。但假如远程访问视频监控服务技术功能不足,则无法保证监控信息所需的保密性和速度性,这该怎样解决呢?VPN?(VirtualPrivate Networking)技术的出现,正好解决了该问题,实现了远程视频监控信息安全便利的传输。
经调查发现,实现VPN远程视频监控系统较重视的需求为:
虚拟私有网络VPN安全传输:完整的VPN网络视频监控系统,最重要的需求是要让各分支外点及本地局域网的监控视频能安全、实时的传送到总公司监控中心的治理服务器,统一作企业安全防护及报警。视频监控信息若不作加密处理就直接通过公众互联网进行传送,可能会造成企业内部机密外露等问题。因此,需要建置完善的VPN传输,不仅可节约高昂的专线成本,还能得到安全稳定的传输质量。
稳定良好的宽带接入服务:将视频监控信息集成到VPN中,虽然可以确保得到安全稳定的联机,但VPN线路还是建立在公众互联网上,一但接入的宽带线路不稳定轻易掉线,也连带影响到VPN的联机质量。稳定良好的的宽带接入服务或于运营商掉线断网时可以实时提供备援的支持是必要的。
带宽增级同时也能节省成本:多媒体视频监控系统包括视频、音频及相关数据的传送,若要得到实时、顺畅的传送质量,需要相当大的带宽才可达成,因此首先就面临到带宽的增级。如此就会导致线路成本的增加及可能的线路添加,带来成本及治理上的诸多问题。这时,兼顾成本的考虑下,适当的线路集成整合成为企业的需求。
网络安全防攻击防火墙:越来越多的攻击及病毒,造成企业网络安全的潜危机。一旦宽带接入受到恶意攻击影响网络正常运作,轻则让监控信息传输效率大减,严重时发生整个网络断网,造成视频监控系统停摆的窘境。若是多购置防火墙,等于是增加成本,因此路由器中需要有适当的防火墙功能,以进行网络安全的防护。
内部上网行为管控避免影响重要传输:多数员工在上班时间通过BT等下载音乐电影,或是聊QQ、MSN等实时交流工具,不仅影响工作效率,也很大可能会造成带宽被占用、影响监控信息传送速度降低影响监控实时反应,更严重是可能随之而来的病毒、蠕虫和木马的威胁。有效而可靠的管制内网用户使用特定软件是很必要的。
方便的配置及治理:当今讲求效率的时代,路由器也需要提供简易配置好治理的配置接口设计,让网管由繁复工作中解放。另外VPN客户端大多不配备专业的网管,很多指令行的路由器给设置带来了困扰,而想要对路由器进行任一个操作,都必须找来专业的人员,这又为实时反应带来了变量。因此路由器的配置,最好使用直观的配置接口及简化的配置设计,即使不是是专门的网管人员经简单的培训后也可轻易上手,节省不必要的时间浪费。
VPN远程视频监控应用
依据企业远程VPN视频监控系统服务需求及以上组网分析,具有高度性价比优势的多WAN VPN防火墙厂商侠诺科技,为远程VPN视频监控系统提出一完整的组网方案。
方案功能特点
多WAN端口接入汇聚带宽:Qno侠诺多WAN产品支持带宽汇聚、自动线路备援等功能,多WAN口接入方式,让企业有更大和弹性配置空间。可支持多线路多ISP接入,不仅可以汇聚带宽以节省成本,而且还可以实现线路备援、数据分流、负载均衡等效果。当一条线路掉线,会自动改用另一个WAN连接端口的线路连接,确保VPN联机不掉线,避免掉线时造成无形的损失与伤害。
强效防火墙有效防病毒攻击:VPN防火墙,具备主动式封包检测功能,只需单向启动各式黑客攻击、蠕虫病毒防护功能,即可简易完成配置,有效防止内外网恶意攻击,确保企业网络安全,降低网络受攻击带来的损失。具有内建的防制ARP功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定,在路由器端以内网PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。论文参考网。
QoS带宽治理优化带宽使用:视频监控多媒体传输需要有稳定的带宽,而少数BT下载等恶意占用带宽造成网络卡,经常会造成客户抱怨。让人宽慰的是侠诺二代多元QoS带宽治理功能,支持一周七天、一天三个时段采取不同的带宽治理政策,依据不同的网络应用环境、时段,自由选择管控方式,达到带宽利用率最佳化的目的。该功能包含有传统QoS带宽管控及智能SmartQoS治理,可依据联机数、要害字、最大或最小带宽等方式进行管控,也可启动动态智能治理,对于非凡的应用或用户进行非凡限制。这个功能并不禁止特定的应用,只是加以限制,从而更弹性的提供带宽服务。
轻松实现了中心管控:同时治理外点多条VPN接入联机,对于大部分网管来说,是非常棘手的问题,尤其是必须反复留心查询各点联机状况、带宽使用率、视频监控等信息,更是耗费许多时间。而Qno侠诺多WAN VPN防火墙则轻松解决了上述问题,其所具备的中心控管功能,可一次看清全部VPN联机的情况,再也不必一一地检查联机的状况。若需进一步协助设定或排解问题,网管也可直接进入分点的治理接口查看或进行设定治理,安全又有效率。
简易又方便的系统治理:Qno侠诺多WAN VPN防火墙具有全中文化配置及治理界面,所有设定参数与组态清楚明确、简单易懂,轻松完成网络设置。还支持强大的系统日志功能,可通过对日志治理和查找,即时监控系统状态及内外流量,进而作对应的配置,确保内网运作无误。
支持多VPN协议外点灵活选择:Qno侠诺高阶产品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客户端密钥等多种连机方式,可满足外点多种VPN弹性配置需求,实现总部中心端与各分点建构实时、稳定、安全的互连VPN网络系统。由此可见,多通道多协议的特点完全能胜任企业扩展及网络视频布点,而且外点可根据实际规划与应用,灵活选择适用的方式接入中心端。
SmartLink VPN快速设定:侠诺SmartLinkVPN快速联机,简化20多复杂设置步骤,将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输中心端服务器IP地址、用户名、密码三个参数,即可完成超快速VPN连机设定。
策略路由解决VPN跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。侠诺多WAN口的设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,实现“电信走电信、网通走网通”,从而有效解决跨网受限问题。
指定路由强化网络稳定性:另外一方面,多WAN口的设计,也提供了访问网络快速稳定的途径。支持指定路由功能,可通过协议绑定,将特定的服务或应用绑定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速访问速度,进一步保障网络的稳定性。也可将VPN绑定特定端口,保证VPN通道的稳定流畅。
总结
通过以上介绍,可以看出,Qno侠诺多WAN VPN防火墙产品多项功能,都体现了侠诺简单、安全、快速的“3S”研发理念和贴近用户需求的专心,帮助企业以较少的成本、时间与精力,达成高效、快速、安全的运营效能。非凡对于远程VPN视频监控服务来说,在带宽、安全性稳定性等多方面都有较高要求,VPN远程视频监控解决方案,可有效保持企业总部和分支机构间的隧道畅通,进而保证其服务的稳定性和可靠度,提高安全监控的视频质量,当异常事件发生时,可以在第一时间进行处理。论文参考网。可谓是最省成本、且最方便的解决途径。
春节假期,偶然在街上碰到大学同学小张。多年不见话题就多了,在了解到本人现在所从事的是网络安全技术方面的工作后,他像是碰到了大救星,一个劲儿要请客吃饭。原来,他利用这几年打工的储蓄独立创业,加盟了一家全国闻名的服装连锁店,连锁总店要求必须部署VPN信息网络。年前,他便按照要求进行了统一购买了VPN设备,但是由于其设置和应用过于复杂,对于作为网络“外行”的人来说,实在是有点难以应付。此外,因为金融危机的影响,为了压缩人力资源成本,他暂时还没有聘请专业网管的计划,正为这事上火。论文参考网。
其实,这种问题在国内数万家中小连锁企业的经营治理过程中绝不是首例。产生这种矛盾的原因有两点:专业化的高端设备满足了企业的应用需求,但是一般的兼职网管无法应付其治理和维护;平民化的低端设备,使用和治理倒是比较简单,却达不到企业信息化治理的全面需求。VPN网络是未来企业发展的大势所趋,但当务之急是为企业提供最为合适的设备,即要能兼具安全与简便的基本特性。安全无须多说,简便性就成了体现产品技术水平的最大差异化,也同样彰显了企业客户在应用上的突出需求之一。事实证实,其简便的应用特性非常贴近中小企业的需求现状,得到了较好的市场效果。
作为在SMB宽带接入和VPN应用领域耕耘多年的专业厂商,侠诺科技每年都会其创新的产品及应用功能。但是无论怎样创新变化,简单、安全、快速的“3S”研发理念都始终贯穿于其系列产品线。其中,简便(即Simple)被放在首位——“侠诺极简风,治理一键通”。 侠诺的极简风格,是要求专心体察用户的细致需求,将最复杂的技术以最简单的方式呈现给用户,让企业的网管员用最少的时间与精力,达到较为复杂的配置与治理需求,帮助企业有效的增进运营效能。事实证实,其简便的应用特性非常贴近中小企业的需求现状,得到了较好的市场效果。
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。
综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。
⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。
⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。
[参考文献]
【论文摘要】国民经济和社会信息化的发展,进一步带动了工业化发展.在电子信息系统建设的过程中,如何保障系统能提供安全可靠的服务是整个企业电子信息系统建设必须要考虑的问题。本文分析了电子办公系统的信息安全技术中的安全需求,针对需求提出了相应的解决办法。
1.企业电子办公系统中的安全需求
电子办公系统建设在系统安全性方面的总需求是安全保密、可信可靠,具体表现在以下几个方面:信息的安全保密性,满足信息在存储、传输过程中的安全保密性需求;系统的安全可靠性,确保整个电子政务系统的安全可靠;行为的不可抵赖性,保证在所有业务处理过程中,办公人员行为和系统行为的不可抵赖,以便审计和监督;实体的可鉴别性,是实现监管及其他方面需求的必要条件;对象的可授权性,针对政务工作的特点,要求具有对对象灵活授权的功能,包括用户对用户的授权、系统对用户的授权、系统对系统的授权等;信息的完整性,保证信息存储和传输过程中不被篡改和破坏。
2.企业电子办公系统安全保障防火墙技术
针对安全需求,在电子信息系统中需要采取一系列的安全保障技术,包括安全技术和密码技术,对涉及到核心业务的网,还要采用物理隔离技术进行保护。这些技术作用在网络层、系统层和应用层,对信息系统起着不同的安全保护作用。在网络层主要应用的技术有防火墙、VPN、SSL、线路加密、安全网关和网络安全监测;系统层则包括操作系统安全、数据库系统安全以及安全的传输协议;应用层安全技术主要涉及认证与访问控制、数据或文件加密和PKI技术。
从网络安全角度上讲,它们属于不同的网络安全域,因此,在各级网络边界以及企业网和Internet边界都应安装防火墙,并实施相应的安全策略。防火墙可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户和数据包隔断,达到保护高安全等级的子网、阻止外部攻击、限制入侵蔓延等目的。防火墙的弱点主要是无法防止来自防火墙内部的攻击。
3.内网和外网隔离技术
企业电子办公网络是由政务核心网(网)。随着各类机构内部网络业务系统(也称内网)和公众互联网(也称外网)的不断发展,许多业务系统正在逐步向互联网转移,使得内外网的数据交换和互联成为必然的趋势。互联网潜在的不安全因素,造成人们对内外网互联的担忧,所以出现了多种方法来解决内外网的数据交换问题而又不影响内网的安全性,如采用内外网的物理隔离方法,将核心网与其他网络之间断开,将专用网和政府公众信息网之间逻辑隔离。隔离技术的发展至今共经历了五代。
3.1隔离技术,双网机系统。
3.2隔离技术,基于双网线的安全隔离卡技术。
3.3隔离技术,数据转播隔离技术。
3.4隔离技术,隔离服务器系统。该技术是通过使用开关,使内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。
3.5隔离技术,安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。
4.密码技术
密码技术是信息交换安全的基础,通过数据加密、消息摘要、数字签名及密钥交换等技术实现了数据机密性、数据完整性、不可否认性和用户身份真实性等安全机制,从而保证了网络环境中信息传输和交换的安全。
加密技术的原理可用下面的公式表示。
加密:E k1(M)一C
解密:D k2(C)一M
其中E为加密函数;M为明文;K为密钥;D为解密函数;C为密文。按照密钥的不同形式,密码技术可以分为三类:对称密码算法、非对称密码算法和单向散列函数。
在对称密码算法中,使用单一密钥来加密和解密数据。典型的对称密码算法是DES、IDEA和RC算法。这类算法的特点是计算量小、加密效率高。但加解密双方必须对所用的密钥保守秘密,为保障较高的安全性,需要经常更换密钥。因此,密钥的分发与管理是其最薄弱且风险最大的环节。
在非对称密码算法中,使用两个密钥(公钥和私钥)来加密和解密数据。当两个用户进行加密通信时,发送方使用接收方的公钥加密所发送的数据;接收方则使用自己的私钥来解密所接收的数据。由于私钥不在网上传送,比较容易解决密钥管理问题,消除了在网上交换密钥所带来的安全隐患,所以特别适合在分布式系统中应用。典型的非对称密码算法是RSA算法。非对称密码算法的缺点是计算量大、速度慢,不适合加密长数据。
非对称密码算法还可以用于数字签名。数字签名主要提供信息交换时的不可抵赖性,公钥和私钥的使用方式与数据加密恰好相反。
单向散列函数的特点是加密数据时不需要密钥,并且经过加密的数据无法解密还原,只有使用同样的单向加密算法对同样的数据进行加密,才能得到相同的结果。单向散列函数主要用于提供信息交换时的完整性,以验证数据在传输过程中是否被篡改。
5.公共密钥基础设施(PK 1)
PKI技术是电子政务安全系统的核心。它通过数字证书的颁发和管理,为上层应用提供了完善的密钥和证书管理机制,具有用户管理、密钥管理、证书管理等功能,可保证各种基于公开密钥密码体制的安全机制在系统中的实现。
PKI提供的证书服务主要有两个功能,即证实用户身份的功能及保证信息机密性和完整性的功能。它最主要的组件就是认证中心(CA)。CA颁发的证书可以作为验证用户身份的标识,可以有效解决网络中的信任问题。它是电子政务网中信任篚基础。
在CA颁发的证书基础上,可以实现数字信封,数字签名、抗否认等功能,提供数据机密性、数据完整性等电子政务系统中所必需的安全服务。
6.入侵检测技术
入侵检测系统(IDS)可以做到对网络边界点雕数据进行检测,对服务器的数据流量进行检测,入侵着的蓄意破坏和篡改,监视内部吊户和系统管运行状况,查找非法用户和合法用户的越权操作,又用户的非正常活动进行统计分析,发现人侵行为自规律,实时对检测到的人侵行为进行报警、阻断,关键正常事件及异常行为记录日志,进行审计跟焉管理。
IDS是对防火墙的非常有必要的附加,而不仅是简单的补充。网络入侵检测系统还可以与防一墙进行联动,一旦发现由外部发起的攻击行为,将一防火墙发送通知报文,由防火墙来阻断连接,实现秀态的安全防护体系。
企业电子办公的安全保障是系统能够真正发挥作用的前提,各种安全保障设施必须和系统建设同步实施,同时要加强各种安全管理制度,增强系统使用和系统管理者的安全意识,才能从根本上保证系安全可靠的运行。■
【参考文献】
[1]朱少民.现代办公自动化系统的架框研究,办公自动化技术.
关键词:路由器网络技术,网络应用
一、引 言
当前基于IP协议的计算机网络用户数量剧增,网络流量也发展迅速。为了使网络状况更加适应用户的需要,作为网络核心器件的路由器的不断升级换代也就成为大势所趋。下面就从路由器的基本概念和分类入手,对路由器在网络中的应用技术做一个全面的介绍。
二、路由器的基本概念和分类
国际标准化组织(ISO)制定的开放系统互连参考模型(OSI)把网络结构自下而上地分成7个层次:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。路由器是工作在OSI模型的第三层网络层,路由技术主要作用有两点:决定最优路由和转发数据包。路由表中写入各种信息,由路由算法计算出到达目的地址的最佳路径,然后由相对简单直接的转发机制发送数据包。
(一)路由器的基本功能:
1、存储、转发信息及寻找最佳路径的功能。
2、路由功能。包括数据包的路径决策、负载平衡、多媒体传输等。
3、智能化网络服务。包括QoS、访问控制列表、身份认证、授权、计费、链路备份、调试、管理等。
(二)按照路由器的接口、处理能力、吞吐量、提供的协议等可以把路由器分成高、中、低多种档次。
1、高端路由器位于WAN(广域网)骨干网的中心或骨干位置,构成IP网络的核心。
2、中端路由器适合于有分支机构的中小型企业,一般位于路由中心位置上,互连企业网的各个分支机构,
并作为企业网的出口,上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小
型企业来说,中端路由器是其网络的中心。
3、低端路由器主要针对接口少,处理能力要求不高等场合。论文参考网。
4、专用路由器:如VPN路由器、加密路由器、语音路由器,通过特殊的附加(软)硬件实现特定功能。
三、主要网络应用
1、提高路由器吞吐量的技术
路由器的吞吐量是指路由器单位时间内能够转发的报文数,通常用pps(PacketPerSecond)表示。以一个典型的企业网为例,一个派驻机构的上行速率有2000pps就够了,分支的核心路由设备必需具有几万pps的吞吐能力,而公司总部的路由中心则可能需要几十万甚至上百万pps的处理能力。
目前主要有下面的提高路由器吞吐量的技术: 改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/ASIC)转发等。交换式路由器(SwitchRouter)就是利用这些技术的结晶。
2、可编程ASIC技术
ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大,ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求,出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU,通过改写微码,使其具有处理不同协议的能力。
3、VPN技术
VPN(VirtualPrivateNetwork)虚拟专用网络,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常, VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN 架构中采用了多种安全机制,如隧道技术(Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
4、QoS(QualityofService)服务质量
QoS即服务质量,对于网络业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。
网络资源总是有限的,只要存在抢夺网络资源的情况,就会出现服务质量的要求。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。例如,在网络总带宽固定的情况下,如果某类业务占用的带宽越多,那么其他业务能使用的带宽就越少,可能会影响其他业务的使用。因此,网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
5、MPLS(MultiProtocolLabelSwitch)多协议标记交换
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议,诸如 ATM 和 IP。它提供了一种方式,将 IP 地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如 IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。
在 MPLS 中,数据传输发生在标签交换路径(LSP)上。论文参考网。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。现今使用着一些标签分发协议,如标签分发协议(LDP)、RSVP 或者建于路由协议之上的一些协议,如边界网关协议(BGP)及 OSPF。因为固定长度标签入每一个包或信元的开始处,并且可被硬件用来在两个链接间快速交换包,所以使数据的快速交换成为可能。
MPLS 主要设计来解决网路问题,如网路速度、可扩展性、服务质量(QoS)管理以及流量工程,同时也为下一代 IP 中枢网络解决宽带管理及服务请求等问题。
6、多播技术
多播路由的一种常见的思路就是在多播组成员之间构造一棵扩展分布树。在一个特定的“发送源,目的组”对上的IP多播流量都是通过这个扩展树从发送源传输到接受者的,这个扩展树连接了该多播组中所有主机。不同的IP多播路由协议使用不同的技术来构造这些多播扩展树,一旦这个树构造完成,所有的多播流量都将通过它来传播。
根据网络中多播组成员的分布,总的说来IP多播路由协议可以分为以下两种基本类型。第一种假设多播组成员密集地分布在网络中,也就是说,网络大多数的子网都至少包含一个多播组成员,而且网络带宽足够大,这种被称作“密集模式”(Dense-Mode)的多播路由协议依赖于广播技术来将数据“推”向网络中所有的路由器。密集模式路由协议包括距离向量多播路由协议(DVMRP:Distance Vector Multicast RoutingProtocol)、多播开放最短路径优先协议(MOSPF:MulticastOpen Shortest Path First)和密集模式独立多播协议(PIM-DM:Protocol-Independent Multicast-Dense Mode)等。论文参考网。
多播路由的第二种类型则假设多播组成员在网络中是稀疏分散的,并且网络不能提供足够的传输带宽,比如Internet上通过ISDN线路连接分散在许多不同地区的大量用户。在这种情况下,广播就会浪费许多不必要的网络带宽从而可能导致严重的网络性能问题。于是稀疏模式多播路由协议必须依赖于具有路由选择能力的技术来建立和维持多播树。稀疏模式主要有基于核心树的多播协议(CBT:Core Based Tree)和稀疏模式独立协议多播(PIM-SM:Protocol-Independent Multicast-SparseMode)。
7、网管系统
网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多,与路由器产品相关的网管协议主要有SNMP、RMON等,其中SNMP最常见。SNMP采用(Agent)工作方式,设备侧(路由器上)运行Agent,网管站运行管理软件。的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等),回答网管站对这些信息的查询;传达网管站的设置命令,如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。
四、结束语
以上是对基于路由器的网络技术进行了简单的介绍。若有不当之处,还请广大读者进行批评指正。相信随着上网用户的越来越多,随着宽带网建设的如火如荼,对路由器技术更新的要求会越来越强烈。我相信,在未来会有适应网络发展要求的新技术不断涌现,并将得到广泛的应用。
参考文献
1.谢希仁.《计算机网络》.电子工业出版社, 2005年1月
2.锐捷网络.《网络互联与实现》.北京希望电子出版社,2006年11月
3.思科网络技术学院.《思科网络技术学院教程》.人民邮电出版社,2007年3月
购物车(0)